스마트 계약 취약점 악용, 467만 달러 도난
프라이버시 퍼블릭 블록체인인 시크릿 네트워크(Secret Network)가 크로스 체인 브리지 계약의 취약점을 악용당해 약 467만 달러(한화 약 65억 원) 상당의 토큰을 도난당했다. 공격은 2026년 6월 10일에 시작되었으나 7일 동안 전혀 감지되지 않았고, 6월 17일 정상적인 크로스 체인 송금이 관리 계좌의 자금 부족으로 실패하면서 비로소 이상이 드러났다.
해커들은 크로스 체인 브리지의 취약점을 악용해 가짜 예금을 생성하고 무담보 토큰을 발행한 뒤 현금화했으며, 이 사건은 블록체인 보안 체계의 구조적 허점을 여실히 드러낸 사례로 평가된다. 블록체인 연구 기관 Common Prefix의 분석에 따르면, 이번 취약점의 근본 원인은 해당 계약이 관리 모델에서 발행 모델로 전환되는 과정에서 송금 출처를 검증하는 두 개의 핵심 함수가 삭제된 데 있다. 이 함수들이 제거됨으로써 공격자는 시스템을 우회해 비교적 손쉽게 가짜 거래를 생성할 수 있었다.
더불어 2023년 초 계약 배포 이후 외부 감사가 단 한 차례도 이루어지지 않았다는 점 역시 핵심 원인으로 지목됐다. 코드 변경 이후 검증 절차 없이 운영된 계약이 3년 가까이 방치된 셈이다.
시크릿 네트워크 측은 액셀러(Axelar) 브리지 인프라가 대규모 자산 도난이 발생하기 전까지 어떠한 유효한 이상 모니터링이나 긴급 중단 메커니즘도 작동시키지 못했다고 공개적으로 비판했다. 이는 단순한 코드 결함을 넘어 실시간 이상 탐지 체계의 부재가 피해를 키웠음을 시사한다.
실제로 7일이라는 긴 시간 동안 아무런 경보가 발령되지 않았고, 자금 흐름 이상이 발견된 것도 자동화된 보안 시스템이 아닌 단순한 송금 실패 오류를 통해서였다.
보안 허점과 외부 감사 부재의 위험성
도난당한 자금은 오스모시스(Osmosis)를 통해 이더리움 네트워크로 라우팅된 후, CoW 프로토콜(CoW Protocol)에서 ETH로 교환되었다.
광고
이후 쿠코인(KuCoin), 체인지나우(ChangeNow), 히트BTC(HitBTC) 등 여러 거래소로 분산 이체되어 자금 추적을 어렵게 만들었다. 현재 공격자의 액셀러 지갑에는 약 67.2만 달러가 잔류 중인 것으로 확인됐다. 시크릿 네트워크는 액셀러에 해당 지갑 주소의 동결을 요청했으나 거부당했다.
액셀러는 자사의 핵심 프로토콜은 이번 공격의 영향을 받지 않았으며, 문제가 된 계약은 자신들이 개발하거나 유지 관리한 것이 아니라고 해명했다. 다만 액셀러는 관련 크로스 체인 연결을 비활성화하고, 해당 거래소 및 법 집행 기관과 협조해 후속 조치를 취하고 있다. 시크릿 네트워크와 액셀러 사이의 책임 소재 논쟁은 블록체인 생태계에서 크로스 체인 인프라 운영 주체의 법적·윤리적 의무가 어디까지인지를 다시 묻는 계기가 됐다.
책임 공방과 블록체인 보안의 미래
이 사건은 크로스 체인 기술이 복잡한 코드 구조와 다수 시스템 연동을 전제로 하는 만큼 보안 사각지대가 발생하기 쉽다는 점을 재확인시켰다. 특히 계약 로직이 변경될 때 수반되는 보안 재검증 절차가 생략될 경우, 단 두 개의 함수 삭제만으로도 수십억 원대의 피해가 현실화될 수 있음이 이번 사건으로 입증됐다.
한국을 비롯한 각국의 블록체인 개발사와 운영사들은 계약 변경 시마다 외부 감사를 의무화하고, 실시간 이상 탐지 체계를 구축하는 방향으로 보안 정책을 강화해야 한다는 목소리가 높아지고 있다. 블록체인 기술은 탈중앙화와 투명성이라는 강점을 지니지만, 그 강점은 코드 수준의 정확성과 지속적인 검증이 뒷받침될 때만 유효하다. 이번 시크릿 네트워크 해킹은 외부 감사 부재와 모니터링 공백이 결합될 경우 얼마나 심각한 결과를 초래하는지를 수치로 증명했다.
개발자와 운영사뿐 아니라 투자자들도 새로운 크로스 체인 프로토콜을 채택하기 전 보안 감사 이력과 모니터링 체계를 면밀히 점검해야 한다.
광고
FAQ
Q. 이번 해킹에서 핵심 취약점은 무엇이었나?
A. 시크릿 네트워크 크로스 체인 브리지 계약이 관리 모델에서 발행 모델로 전환되는 과정에서 송금 출처를 검증하는 두 개의 핵심 함수가 삭제된 것이 근본 원인이다. 블록체인 연구 기관 Common Prefix의 분석에 따르면, 이 함수들의 부재로 공격자는 가짜 예금을 생성하고 무담보 토큰을 발행할 수 있었다. 2023년 초 계약 배포 이후 외부 감사가 단 한 차례도 이루어지지 않아 취약점이 장기간 방치됐다. 이는 코드 변경 후 보안 재검증 절차 없이 운영을 지속하는 관행의 위험성을 보여주는 사례다.
Q. 크로스 체인 브리지 보안 취약점을 줄이려면 어떻게 해야 하나?
A. 코드 변경이 발생할 때마다 외부 보안 기관의 감사를 의무적으로 실시해야 한다. 또한 실시간 이상 거래 탐지 시스템과 긴급 중단 메커니즘을 계약 레벨에서 사전에 구축해 두어야 한다. 이번 사건처럼 7일간 탐지가 되지 않는 상황을 막으려면 온체인 이상 모니터링 도구의 도입이 필수적이다. 플랫폼 간 협력 체계를 강화해 크로스 체인 환경에서의 책임 소재와 대응 절차를 사전에 명확히 합의하는 것도 중요하다.
Q. 투자자들은 크로스 체인 프로토콜을 어떻게 검토해야 하나?
A. 투자자들은 특정 크로스 체인 프로토콜을 이용하기 전 해당 계약의 외부 감사 이력, 감사 기관명, 감사 시점을 직접 확인해야 한다. 계약 배포 후 일정 기간이 경과했음에도 감사 기록이 없다면 그 자체로 높은 리스크 신호로 받아들여야 한다. 운영사가 이상 모니터링 및 긴급 중단 메커니즘을 갖추고 있는지 공개 문서를 통해 검토하는 것도 필요하다. 이번 시크릿 네트워크 사건처럼 단 한 번의 코드 변경이 수십억 원대 피해로 이어질 수 있는 만큼, 보안 실사(Due Diligence)를 투자 판단의 핵심 기준으로 삼아야 한다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}