비트코인, 가짜 노드 25만 개까지 폭증...은밀한 공격 가능성 경고

▲ 비트코인(BTC)

비트코인(Bitcoin, BTC) P2P 네트워크에서 가짜 노드 주소가 하루 25만 개 이상으로 급증하면서 기술적 공격 준비 가능성이 제기됐다. 비트코인 코어 개발자이자 카사(Casa) 공동창업자인 제임슨 롭(Jameson Lopp)은 누군가 비트코인 네트워크의 통신 채널에 대량의 허위 주소를 퍼뜨리고 있다며 은밀한 시빌 공격 가능성을 경고했다.

유투데이는 5월 10일(현지시간) 비트코인 P2P 네트워크에서 대규모 인프라 이상 징후가 감지됐다고 보도했다. 2026년 4월 9일부터 원치 않는 네트워크 메시지인 ADDR 추적 차트에서 수직 상승이 나타났고, 가짜 또는 접속 불가능한 노드 주소 수는 기존 하루 5만 개 수준에서 25만 개 이상으로 급증했다.

이번 이상 징후는 롭이 공개적으로 지적하면서 주목받았다. 롭은 해당 차트가 정확하다면 누군가 비트코인 P2P 네트워크에 가짜 비트코인 노드 주소를 대량으로 퍼뜨리고 있으며, 시빌 공격 준비일 가능성이 있다고 밝혔다. 시빌 공격은 공격자가 다수의 가짜 신원을 만들어 네트워크 참여 구조를 교란하는 방식이다.

유투데이는 공격자가 직접 블록 검증이나 거래 처리 기능을 건드리기보다 조용한 전략을 택한 것으로 보인다고 전했다. 비트코인 노드는 ADDR 명령을 통해 서로의 주소를 교환하며, 새로 참여한 노드가 빠르게 동기화 상대를 찾도록 돕는다. 공격자는 이 주소 목록에 수십만 개의 가짜 IP 주소를 흘려 넣어 새로 실행되거나 재시작된 노드가 존재하지 않거나 공격자가 통제하는 ‘유령 노드’에만 연결되도록 유도하려는 것으로 추정된다.

이론적으로 이런 방식은 이클립스 공격으로 이어질 수 있다. 이클립스 공격은 정상 노드가 정보적으로 고립돼 공격자가 보여주는 블록체인 상태만 보게 되는 상황을 뜻한다. 다만 유투데이는 노드가 안전하게 유지되고 정확한 블록체인 데이터를 받으려면 적어도 하나의 정직한 네트워크 참여자와 연결되면 된다고 설명했다.

비트코인 클라이언트 소프트웨어도 연결을 여러 서브넷에 자동 분산하도록 설계돼 있다. 이 때문에 공격자가 단일 IP 주소 풀만으로 모든 연결 슬롯을 장악하기는 어렵다. 현재로서는 이번 이상 징후가 합의 구조 자체에 대한 직접 위협이라기보다 기생적인 대역폭 부담을 만드는 수준에 가깝다는 평가가 나온다.

시장 반응은 제한적이었다. 유투데이는 시장이 아직 이런 공격 가능성을 가격에 반영하지 않았거나, 기존 방어 장치와 실제 영향력을 고려해 위험을 크지 않게 보고 있는 것으로 해석했다. 기사 작성 시점 기준 비트코인은 새 거래 세션 시작 이후 0.36% 상승했으며 8만 1,000달러에 거래됐다.

*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*