[블록미디어 이성우] 라디언트 캐피탈(RDNT)은 지난 10월 발생한 5000만 달러 규모의 해킹 사건이 북한과 연계된 해커 그룹에 의해 실행됐다고 밝혔다. 이들은 전직 계약자로 위장해 텔레그램을 통해 악성 코드를 유포했다.
라디언트 캐피탈은 12월 6일 발표한 조사 업데이트에서, 사이버 보안 업체 맨디언트(Mandiant)가 해당 사건이 높은 확률로 북한 정권과 연계된 위협 행위자에 의한 것으로 추정된다고 전했다.
이 사건은 라디언트 캐피탈 소속 개발자가 9월 11일 텔레그램 메시지를 통해 퇴사한 직원으로부터 ZIP 파일을 전달받으면서 시작됐다. 라디언트는 메시지에는 새로운 프로젝트에 대한 의견을 요청하는 내용이 담겨 있었으나, 실제로는 북한 소속 해커가 직원으로 위장한 것으로 의심된다고 밝혔다.
해당 ZIP 파일은 다른 개발자들과 공유되며 악성 코드를 퍼뜨렸고, 이는 이후 시스템 침입을 가능하게 했다. 라디언트 캐피탈은 “PDF 리뷰 요청은 일반적인 업무 상황에서 자주 발생하기 때문에 별다른 의심을 불러일으키지 않았다”고 설명했다. ZIP 파일의 도메인 역시 실제 계약자의 웹사이트를 모방해 정교하게 위장됐다.
# 북한의 소행으로 밝혀진 5000만 달러 해킹 사건
라디언트 캐피탈은 지난 10월 16일, 익명의 해커에 의해 여러 서명자의 개인 키와 스마트 계약을 탈취되어 플랫폼의 대출 시장을 중단해야 했다. 이 과정에서 사용자 인터페이스에는 정상적인 거래 데이터가 표시됐지만, 실제로는 악의적인 거래가 백그라운드에서 실행됐다.
해당 사건의 배후로 알려진 해킹 그룹 ‘UNC4736’은 북한 정찰총국(RGB)과 연계된 라자루스 그룹의 하위 조직으로 추정된다. 이들은 사건 발생 후 10월 24일, 탈취한 약 5200만 달러의 암호화폐를 이동시켰다.
라디언트 캐피탈은 “이번 사건은 정교한 SOP, 하드웨어 지갑, 거래 시뮬레이션 도구, 그리고 면밀한 검토 절차로도 고급 위협 행위자의 침입을 막기 어렵다는 점을 보여준다”고 강조했다.
# 디파이 보안 강화 요구 목소리 커져
라디언트 캐피탈은 이번 사건을 계기로 블라인드 서명과 위장 가능한 프론트엔드 검증에 의존하는 보안 모델의 한계를 지적하며, “트랜잭션 페이로드를 하드웨어 수준에서 디코딩하고 검증하는 더 강력한 솔루션 개발이 필요하다”고 말했다.
이번 사건은 라디언트 캐피탈이 올해 겪은 두 번째 대규모 해킹 사건이다. 앞서 1월에는 450만 달러 규모의 플래시론 공격으로 대출 시장이 중단된 바 있다. 두 차례의 공격 이후 라디언트 캐피탈의 총 예치 자산(TVL)은 지난해 말 3억 달러에서 12월 9일 기준 581만 달러로 급감했다.
같이 보면 좋은 기사
