지난 4월 1일 북한 해커로 추정되는 집단의 Social Engineering 공격으로 대규모 해킹을 당했던 Drift Protocol이 보상 방안을 발표했다.
피해 계정은 모두 Recovery Token을 지급받으며, 1개의 Recovery Token은 1달러의 가치에 상응한다. 개별 피해액에 따라 해당 규모의 Token을 받게 되며, 보상 재원은 Protocol의 자체 보유액 3.8M달러와 Tether 및 파트너사의 지원금 147.5M달러로 확보된다.
개인적으로는 싱가포르와 홍콩 기반 프로젝트들을 깊게 신뢰하지 않았다.
중국 자본 및 기술과의 높은 연계성, 그리고 싱가포르의 국가적 특성상 문화적 깊이 부족 등이 그 이유였다.
하지만 Drift Protocol은 착실하게 프로젝트를 구축해왔고, DeFi와 금융에 대한 이해도, 그리고 Solana 생태계 전반에 대한 이해와 애정이 높아 긍정적으로 평가하고 있었다. 그렇기에 이번 해킹 사태가 특히 아쉬웠다.
북한 해커 집단이 수개월간 치밀하게 계획하여 Vault 접근 권한을 가진 팀 멤버를 Social Engineering으로 표적 삼았기에 완벽히 차단하기는 어려웠을 것이다. 그러나 기본적인 보안 원칙을 철저히 지켰다면 충분히 방지할 수 있었던 사건이기도 하다.
특히 우려되는 점은 창립자 Cindy가 컨퍼런스에서 패널로 참여할 때의 모습이다. 과도한 개인 어필과 의도적인 자기노출이 두드러졌는데, 이는 조직의 보안 문화와 기술에 대한 경각심 부족을 시사한다. 보안에 대한 인식과 기술 역량이 미흡한 멤버에게 과도한 권한을 부여한 것이 근본적인 문제로 보인다. 결국 인사 관리의 미흡함, 리더십의 자기과시, 그리고 보안 경각심 결여가 복합적으로 작용하여 전체 프로토콜을 위기에 몰아넣은 주요 원인으로 판단된다.
이번 보상 안은 비록 Drift 측의 부족한 부분이 있었지만, 기술적 부족이나 자금부족 등 어떠한 경우라도 고객의 돈은 돌려주고 모든 책무를 다한다는 기본원칙을 보여주어 Drfit Protocol에 대한 신뢰와 기대를 높여주었다.
프로토콜이나 금융회사의 진정한 신뢰는 기술적 완벽성보다 어떠한 결함이 발생하더라도 고객의 돈과 자산을 무조건 보호한다는 창립자와 팀의 태도에 있다. Drfit는 그러한 태도에서 벗어나지 않았고, 설령 본인들이 망하더라도 고객을 보호한다는 원칙을 확인해주었다.
