비트코인 P2P 네트워크에 급증한 의심스러운 IP 주소, 시빌 공격 가능성 제기

비트코인의 P2P(peer-to-peer) 통신 레이어인 gossip 채널에서 최근 한 달 사이에 네 배 이상의 IP 주소가 감지됐다. 보안 전문가인 제임슨 롭(Jameson Lopp)은 이 현상이 시빌 공격(Sybil attack) 준비 단계일 가능성을 제기하며 우려를 표했다.

독일 카를스루에 공과대학교(Karlsruher Institut für Technologie, KIT) 연구팀이 운영하는 실시간 모니터링 시스템에 따르면, 비트코인 네트워크에서 일일 고유 IP 주소 수가 지난 8년간 약 3~6만 수준을 유지했으나, 2026년 4월 중순 이후 급격히 증가해 5월 초 기준 약 25만까지 치솟았다. 이는 기존 평균의 네 배에 달하는 수치다.

롭은 5월 10일 트위터에 “누군가 비트코인 P2P 네트워크에 가짜 노드 주소를 대량으로 유포하고 있다. 시빌 공격 준비인가?”라며 우려를 표명했다. 트위터 게시글(링크)

“누군가 비트코인 P2P 네트워크에 가짜 노드 주소를 대량으로 유포하고 있다. 시빌 공격 준비인가?” — 제임슨 롭 (@lopp)

ADDR 메시지란 무엇인가?

ADDR 메시지는 비트코인 노드가 무작위로 전송하는 P2P 메시지로, 자신이 연결한 다른 노드의 IP 주소나 IP 유사 주소를 전파하는 역할을 한다. 새로운 노드가 네트워크에 진입할 때 초기 연결 후 무작위로 수신하는 ADDR 메시지를 통해 빠르게 다른 노드 정보를 확보할 수 있다. 이러한 메시지 교환은 비트코인 트랜잭션과 블록의 효율적인 전파를 돕는 메시 네트워크(Mesh Network) 구축에 필수적이다.

급증 원인: 무해한 현상인가, 공격의 전조인가?

이번 IP 주소 급증에 대한 해석은 크게 두 가지로 나뉜다.

• 무해한 설명: 단순 네트워크 정비 또는 합법적인 참여자 증가로 인한 자연스러운 현상일 수 있다.
• 적대적 설명: 시빌 공격 또는 이클립스 공격(Eclipse Attack) 준비 단계일 가능성이 제기된다.

시빌 공격과 이클립스 공격이란?

시빌 공격(Sybil Attack): 공격자가 다수의 가짜 신원을 생성해 네트워크의 평판 시스템을 교란하는 공격 방식이다. 비트코인 네트워크에서 노드가 신뢰할 수 있는 피어(peer)를 식별하는 데 어려움을 겪을 수 있다.

이클립스 공격(Eclipse Attack): 2015년 보스턴 대학교 연구팀이 입증한 공격 방식으로, 공격자가 피해 노드의 IP 주소 테이블을 자신의 IP로 채운 후 네트워크 재시작 시 연결을 장악하는 방식이다.在此期间, 공격자는 피해 노드에 조작된 블록체인 뷰를 제공할 수 있다.

비트코인 코어( Bitcoin Core ) 개발팀은 이러한 공격에 대응하기 위해 IP 주소 테이블 버킷링 강화 및 ADDR 메시지 전송률 제한을 도입했지만, 완전한 방어는 어렵다.

감시 활동의 가능성도 제기

또 다른 가능성으로 감시 활동(LinkingLion)이 제기된다. 프로토스(Protos)에 따르면, ‘LinkingLion’이라는 엔티티가 수년간 812개 IP 주소에서 비트코인 노드에 짧은 연결을 열고 각 트랜잭션을 최초로 전파한 IP를 기록했을 가능성이 있다. 대량의 가짜 피어 엔트리(peer entries)는 이러한 블록체인 분석을 위한 데이터 수집을 은폐하는 데 도움이 될 수 있다.

비트코인 네트워크는 누구나 언제든지 노드를 운영할 수 있는 퍼미션리스(permissionless) 시스템이지만, 이번 급증이 단순한 네트워크 성장인지, 아니면 공격 준비 단계인지는 아직 명확하지 않다. 비트코인 개발자 및 보안 전문가들은 지속적인 모니터링과 분석을 진행 중이다.