Back to Blog

Web3 보안에서 자동화된 인시던트 대응이 중요한 이유는 무엇인가?

Phalcon SecurityCode Auditing
December 8, 2023
4 min read
Key Insights

자동화된 인시던트 대응은 프로토콜 전체의 위기를 제한된 손실로 막을 수 있습니다. Web3 보안에서 몇 시간 만에 대응하느냐, 몇 초 만에 대응하느냐의 차이는 관리 가능한 인시던트와 수천만 달러의 손실 사이의 차이를 의미할 수 있습니다.

DeFi에서 어떤 프로젝트도 영원한 완벽한 안전을 약속할 수 없습니다. 그렇기 때문에 철저한 준비가 중요합니다. 하지만 공격이 시작되면 준비만으로는 충분하지 않습니다. 프로젝트는 즉각적으로 대응하고 피해가 확산되기 전에 손실을 줄일 수 있는 능력도 필요합니다.

수동 개입은 종종 너무 느립니다. Nomad Bridge 인시던트에서 프로젝트 팀은 대응하는 데 세 시간 이상이 걸렸습니다. KyberSwap 익스플로잇에서 팀은 첫 번째 공격 이후 거의 두 시간이 지나서야 프로토콜 일시 중지를 시작했습니다. 바로 그 격차가 Phalcon Security가 중요한 이유입니다. Phalcon Security는 공격을 탐지하는 것 외에도, 중요한 상황에서 일시 중지 및 프론트러닝을 포함한 사전 설정된 대응 조치를 자동으로 트리거할 수 있습니다. 이를 통해 대응 시간을 몇 시간에서 단 하나의 블록으로 줄일 수 있습니다.

KyberSwap 인시던트 요약

2023년 11월 22일 22:54:09 UTC, Phalcon은 Base에서 KyberSwap에 대한 첫 번째 공격을 탐지했으며, 손실액은 $857,025였습니다.

1분 후, Phalcon은 이더리움 메인넷에서 프라이빗 트랜잭션을 통한 또 다른 공격을 탐지했으며, 손실액은 $64,896였습니다.

22:56:34 UTC부터 공격자는 Arbitrum, Optimism, Polygon, Avalanche에서 추가 공격을 감행했습니다. PolygonAvalanche에서의 일부 공격자 트랜잭션은 다른 MEV 봇에 의해 프론트런되었으며, 약 $5.36 million의 수익을 가져갔습니다.

23:30:39 UTC까지 공격자는 공격을 마쳤습니다. 약 37분 동안 공격자는 6개 체인에 걸쳐 17건의 공격 트랜잭션을 실행하여 모방 공격을 제외하고 약 $46 million의 손실을 발생시켰습니다.

2023년 11월 23일 00:36:47 UTC, 첫 번째 공격으로부터 약 100분 후, 프로토콜 팀은 서로 다른 체인에서 프로토콜 일시 중지를 시작했습니다.

여러 체인에 걸친 KyberSwap 인시던트 타임라인
여러 체인에 걸친 KyberSwap 인시던트 타임라인

전형적인 공격 경로: 프라이빗 트랜잭션 & 멀티체인 공격

KyberSwap 익스플로잇은 단일한 고립된 행동이 아니었습니다. 체인을 넘나들며 프라이빗 트랜잭션, 퍼블릭 트랜잭션, 그리고 후속 공격을 포함했습니다. 이 패턴은 현대 공격자들이 실제로 어떻게 행동하는지를 보여주기 때문에 중요합니다. 그들은 한 번의 성공적인 시도 후에 거의 멈추지 않으며, 하나의 체인이나 하나의 트랜잭션 유형에만 국한하지 않습니다.

KyberSwap 인시던트 중 프라이빗 트랜잭션과 멀티체인 실행을 포함한 전형적인 공격 경로를 보여주는 다이어그램.
KyberSwap 인시던트 중 프라이빗 트랜잭션과 멀티체인 실행을 포함한 전형적인 공격 경로를 보여주는 다이어그램.

자동화된 인시던트 대응이 Web3 보안에 중요한 이유는 무엇인가요?

100분 vs 12초; $46,000,000 vs $860,000

Phalcon이 첫 번째 공격을 탐지하는 즉시 프로토콜 일시 중지 또는 기타 사전 설정된 대응 조치를 자동으로 트리거할 수 있습니다. 또한 동시에 다른 체인에서 동일한 프로토콜을 일시 중지할 수도 있습니다. KyberSwap의 경우, 이를 통해 손실을 약 $46 million 대신 첫 번째 공격으로 인한 손실인 약 $860,000 수준으로 줄일 수 있었을 것입니다.

Phalcon은 단일 서명과 다중 서명 설정을 모두 지원하므로, 더 복잡한 거버넌스 환경에서도 인시던트 대응 조치를 즉시 실행할 수 있습니다.

Phalcon Security 시작하기

모든 위협을 탐지하고, 중요한 사항을 알리며, 공격을 차단하세요.

지금 무료로 시작하기
수동 대응과 자동화된 대응의 시각적 비교
수동 대응과 자동화된 대응의 시각적 비교

단일 프라이빗 트랜잭션은 거의 끝이 아닙니다

공격자의 90% 이상은 단일 프라이빗 트랜잭션 이후에 멈추지 않으며, 공격은 메인넷에서만 발생하는 경우가 거의 없습니다. KyberSwap 인시던트에서 17건의 공격 트랜잭션 중 단 3건만이 프라이빗 트랜잭션이었습니다. 첫 번째 프라이빗 트랜잭션은 총 손실의 0.14%에 불과했습니다. 세 건의 프라이빗 트랜잭션 전체를 합쳐도 16%였습니다. 첫 번째 비공개가 아닌 공격만으로도 총 손실의 2%를 차지했습니다.

교훈은 명확합니다. 공격자가 프라이빗 트랜잭션을 사용하더라도, 공격이 조기에 탐지되고 대응 조치가 적시에 트리거된다면 프로젝트는 여전히 손실을 크게 줄일 수 있습니다.

공격이 발생하면 시간이 주요 변수가 됩니다

BlockSec은 KyberSwap과 사전 협력 관계가 없었기 때문에, 팀은 공격을 탐지한 후 공개 채널을 통해서만 연락할 수 있었습니다. 위협 정보가 프로토콜 팀에 즉시 전달되더라도 수동 대응은 여전히 너무 느렸을 것입니다.

멀티시그 거버넌스를 가진 프로젝트의 경우, 팀은 공격이 진행 중인지 확인하고, 위험을 평가하고, 대응 방안에 합의하고, 대응 트랜잭션에 대한 서명을 수집해야 했을 것입니다. 이 모든 과정에는 시간이 걸리며, 익스플로잇이 진행되는 동안 매 분이 중요합니다.

KyberSwap의 경우, 첫 번째 공격과 대응 시작 사이에 100분 이상이 경과했습니다. 바로 이 지연이 자동화된 대응이 블록체인 인시던트 대응에 매우 중요한 이유입니다.

활성 익스플로잇 중 수동 대응 워크플로우 일러스트레이션
활성 익스플로잇 중 수동 대응 워크플로우 일러스트레이션

Phalcon Security를 사용함으로써 프로젝트 팀은 다중 서명 거버넌스를 포기하지 않고도 자동화된 대응을 통합할 수 있습니다. 이 시스템은 인시던트가 사전 설정된 조건과 일치할 때 미리 정의된 조치를 즉시 실행할 수 있도록 합니다.

프로젝트 팀은 보안 위협에 어떻게 대응할 수 있나요?

프로젝트 팀에게는 일반적으로 두 가지 경로가 있습니다.

첫 번째는 모든 것을 직접 구축하는 것입니다. 이는 소셜 미디어 알림에 의존하는 대신 모니터링 시스템을 구축하고, 위험 평가 기준과 인시던트 대응 계획을 정의하고, 전담 대응 팀을 구성하고, 24시간 365일 운영 체계를 유지하는 것을 의미합니다. 이론적으로는 작동하지만, 실제로는 자원이 많이 필요하고 지속하기 어렵습니다.

두 번째는 실시간 위협 탐지 및 대응을 위해 구축된 플랫폼을 사용하는 것입니다. Phalcon Security를 통해 프로젝트 팀은 정밀한 외부 위협 모니터링, 유연한 규칙 구성, 지능적인 위험 등급 분류, 그리고 프로토콜 일시 중지 및 프론트러닝과 같은 자동화된 신속 대응 메커니즘을 갖출 수 있습니다. 이를 통해 처음부터 24시간 대응 조직을 구축하지 않고도 프로토콜 보안을 향상시킬 수 있습니다.

지속적인 수동 개입에 의존하지 않고도 프로토콜을 더 안전하게 유지할 수 있습니다.

관련 리소스

참고 자료

  1. BlockSec | KyberSwap 인시던트 원인 분석
  2. MetaSleuth | KyberSwap 인시던트 자금 흐름 추적 분석
Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit