본문으로 건너뛰기

2억 8,200만 달러짜리 전화 한 통: 2026년 최대 규모의 사회 공학적 암호화폐 해킹 사건 속으로

· 약 9 분
Dora Noda
Dora Noda
Software Engineer

2026년 1월 10일 오후 11:00 UTC, 누군가 전화를 받았고 2억 5,000만 달러를 잃었습니다. 스마트 컨트랙트가 악용된 것도 아니고, 거래소가 해킹당한 것도 아니며, 양자 컴퓨터가 개인 키를 뚫은 것도 아닙니다. 한 개인이 사기꾼에게 자신의 24단어 시드 구문(1,459 BTC와 205만 LTC의 마스터 키)을 말해주었을 뿐입니다. 하드웨어 지갑 고객 지원팀과 통화 중이라고 믿었기 때문입니다.

총 2억 8,200만 달러에 달하는 이번 절도는 2024년 8월에 기록된 2억 4,300만 달러를 넘어서며 암호화폐 역사상 최대 규모의 개인 사회 공학적 공격으로 기록되었습니다. 하지만 그 후 벌어진 일은 암호화폐 생태계에 대해 그만큼이나 충격적인 사실을 드러냈습니다. 도난된 자금은 몇 시간 만에 모네로(Monero) 가격의 30 % 급등을 촉발했고, 자금 세탁에서 탈중앙화 인프라의 논란의 여지가 있는 역할을 노출시켰으며, "코드가 곧 법이다(code is law)"라는 원칙이 "범죄가 허용된다"는 의미여야 하는지에 대한 논쟁을 재점화했습니다.

2억 5,000만 달러 규모 사기극의 해부

공격은 처참할 정도로 간단했습니다. 이번 절도를 처음으로 공개 문서화한 블록체인 조사관 ZachXBT에 따르면, 피해자는 "Trezor Value Wallet" 고객 지원팀을 사칭하는 인물로부터 전화를 받았습니다. 보안 업체 ZeroShadow는 이후 공격자의 사칭 수법을 확인했는데, 이는 긴급 상황 조성, 권위 확립, 그리고 타겟을 조종하여 시드 구문을 노출하게 만드는 익숙한 수법을 따랐습니다.

Trezor와 같은 하드웨어 지갑은 개인 키를 오프라인으로 유지하여 원격 공격으로부터 보호하도록 설계되었습니다. 하지만 보안 시스템에서 가장 취약한 요소인 인간 운영자는 보호할 수 없습니다. 피해자는 합법적인 지원 요청을 위해 지갑을 확인하고 있다고 믿고, 자신의 전 재산을 통제하는 24개의 단어를 넘겨주었습니다.

불과 몇 분 만에 1억 5,300만 달러 상당의 205만 라이트코인(Litecoin)과 1억 3,900만 달러 상당의 1,459 비트코인(Bitcoin)이 블록체인을 통해 이동하기 시작했습니다.

세탁 작전: 비트코인에서 추적 불가능한 자산으로

그 뒤를 이은 것은 보안 연구원들이 지켜보는 가운데 실시간으로 실행된 암호화폐 은닉의 정석이었습니다.

공격자는 즉시 THORChain으로 향했습니다. THORChain은 중앙화된 중개자 없이 서로 다른 암호화폐 간의 스왑을 가능하게 하는 탈중앙화 크로스체인 유동성 프로토콜입니다. ZachXBT가 문서화한 블록체인 데이터에 따르면, 818 BTC(약 7,800만 달러 상당)가 THORChain을 통해 다음과 같이 스왑되었습니다:

  • 19,631 ETH (약 6,450만 달러 상당)
  • 315만 XRP (약 650만 달러 상당)
  • 77,285 LTC (약 580만 달러 상당)

하지만 도난당한 자금의 가장 큰 부분은 훨씬 더 추적이 어려운 모네로(Monero)로 흘러갔습니다.

모네로 급등: 도난된 자금이 시장을 움직일 때

모네로(Monero, XMR)는 처음부터 추적 불가능하도록 설계되었습니다. 모든 거래가 블록체인에 공개적으로 표시되는 비트코인과 달리, 모네로는 링 서명(ring signatures), 스텔스 주소(stealth addresses), RingCT 기술을 사용하여 송신자, 수신자 및 거래 금액을 숨깁니다.

공격자가 여러 즉석 거래소를 통해 막대한 양의 비트코인과 라이트코인을 모네로로 전환함에 따라, 갑작스러운 수요 급증으로 XMR 가격은 최저 612.02 달러에서 일일 최고치인 717.69 달러로 17 % 이상 상승했습니다. 일부 보고에 따르면 1월 14일 XMR이 잠시 800 달러를 터치하기도 했습니다.

이 아이러니는 씁쓸합니다. 공격자의 범죄는 적어도 일시적으로는 다른 모든 모네로 보유자들을 부유하게 만들었습니다. 초기 급등 이후, 인위적인 수요가 가라앉으면서 XMR은 24시간 동안 11.41 % 하락한 623.05 달러로 내려앉았습니다.

보안 연구원들이 자금 흐름을 완전히 파악했을 때, 도난된 자금의 대부분은 모네로의 프라이버시 보호 구조 속으로 사라져 사실상 회수가 불가능해졌습니다.

ZeroShadow의 시간과의 싸움

보안 업체 ZeroShadow는 절도 발생 몇 분 만에 이를 감지하고 즉시 동결 가능한 자산을 확보하기 위해 착수했습니다. 이들의 노력으로 프라이버시 토큰으로 전환되기 전 약 70만 달러를 식별하고 동결하는 데 성공했습니다.

이는 전체 도난 금액의 0.25 % 에 불과합니다. 나머지 99.75 % 는 사라졌습니다.

ZeroShadow의 신속한 대응은 블록체인 보안의 기능과 한계를 동시에 보여줍니다. 퍼블릭 블록체인의 투명한 특성 덕분에 절도는 거의 즉각적으로 가시화되지만, 자금이 프라이버시 코인으로 이동하면 그 투명성은 아무런 의미가 없습니다. 감지와 추적 불가능한 자산으로의 전환 사이의 시간은 분 단위로 측정됩니다.

THORChain: 탈중앙화의 도덕적 해이

2억 8,200만 달러 규모의 이번 절도는 자금 세탁 작전의 상당 부분을 처리한 탈중앙화 프로토콜 THORChain에 대한 격렬한 비판을 다시 불러일으켰습니다. THORChain이 도난된 자금의 이동을 용이하게 했다는 비판을 받은 것은 이번이 처음이 아닙니다.

바이비트(Bybit) 선례

2025년 2월, 라자루스 그룹(Lazarus Group)으로 알려진 북한 해커들이 바이비트 거래소에서 역사상 최대 규모인 14억 달러를 탈취했습니다. 이후 10일 동안 그들은 도난당한 ETH를 비트코인으로 전환하며 THORChain을 통해 12억 달러를 세탁했습니다. 이 프로토콜은 단 일주일 만에 46억 6,000만 달러의 스왑을 기록했으며, 해당 기간 동안 입금된 ETH의 약 93 % 가 범죄 활동과 연관된 것으로 추정되었습니다.

THORChain 운영자들은 선택의 기로에 섰습니다. 자금 세탁을 막기 위해 네트워크를 중단할 것인가, 아니면 자금의 출처와 상관없이 탈중앙화 원칙을 유지할 것인가. 그들은 후자를 선택했습니다.

개발자 대규모 이탈

이 결정은 내부 갈등을 촉발했습니다. "Pluto"로 알려진 핵심 개발자는 2025년 2월, 라자루스(Lazarus)와 연관된 트랜잭션을 차단하려는 투표가 뒤집히자 "THORChain에 대한 기여를 즉시 중단하겠다"고 발표하며 사임했습니다. 또 다른 검증인인 "TCB"는 ETH 거래 중단을 위해 투표한 세 명의 검증인 중 한 명이었으나 몇 분 만에 기각되었다고 밝혔습니다.

TCB는 프로젝트를 떠나며 "탈중앙화라는 정신은 그저 아이디어일 뿐이다"라고 썼습니다.

재정적 인센티브 문제

비판론자들은 THORChain이 라자루스 그룹의 트랜잭션에서만 약 500만 달러의 수수료를 거두어들였다는 점에 주목합니다. 이는 이미 재정적 불안정으로 어려움을 겪고 있던 프로젝트에 상당한 횡재였습니다. 2026년 1월, 이 프로토콜은 2억 달러 규모의 지급 불능 사태를 겪으며 출금이 동결된 바 있습니다.

2억 8,200만 달러의 도난 사건은 암호화폐 세탁에 있어 THORChain의 역할에 대한 또 다른 데이터 지점을 추가합니다. 프로토콜의 탈중앙화 아키텍처가 이를 중앙화된 자금 송금업체와 법적 또는 윤리적으로 구별되게 만드는지는 여전히 논쟁적인 문제이며, 규제 당국이 점점 더 관심을 갖고 지켜보고 있는 대목입니다.

더 큰 그림: 사회공학적 기법의 비대칭적 위협

2억 8,200만 달러의 도난 사건은 이례적인 사례가 아닙니다. 이는 2025년 암호화폐 보안을 지배했던 추세 중 가장 극적인 예시일 뿐입니다.

Chainalysis에 따르면, 2025년 사회공학적 스캠과 사칭 공격은 전년 대비 1,400 % 증가했습니다. WhiteBit의 연구에 따르면 사회공학적 스캠은 2025년 모든 암호화폐 보안 사고의 40.8 %를 차지하여 주요 위협 카테고리가 되었습니다.

수치는 냉혹한 현실을 보여줍니다:

  • 170억 달러: 2025년 암호화폐 스캠 및 사기를 통해 도난당한 총 추정액
  • 40억 4,000만 달러: 해킹과 스캠을 합쳐 사용자 및 플랫폼에서 유출된 금액
  • 158,000건: 80,000명의 고유 피해자에게 영향을 미친 개별 지갑 보안 사고
  • 41 %: 피싱 및 사회공학적 기법이 포함된 모든 암호화폐 스캠의 비중
  • 56 %: 소셜 미디어 플랫폼에서 시작된 암호화폐 스캠의 비중

AI 기반 스캠은 전통적인 방식보다 4.5배 더 높은 수익성을 보였으며, 이는 음성 복제 및 딥페이크 기술이 향상됨에 따라 위협이 더욱 심화될 것임을 시사합니다.

하드웨어 지갑이 당신을 구원할 수 없는 이유

2억 8,200만 달러 도난 사건의 비극은 피해자가 많은 일을 올바르게 수행하고 있었다는 점입니다. 그들은 암호화폐 보안의 표준인 하드웨어 지갑을 사용했습니다. 그들의 개인 키는 인터넷에 연결된 기기에 닿은 적이 없었습니다. 그들은 콜드 스토리지(Cold Storage)의 중요성을 이해하고 있었을 것입니다.

하지만 그 어떤 것도 소용없었습니다.

하드웨어 지갑은 멀웨어, 원격 침입, 손상된 컴퓨터와 같은 기술적 공격으로부터 보호하도록 설계되었습니다. 모든 트랜잭션에 인간의 상호 작용을 요구하도록 명시적으로 설계되었습니다. 이것은 결함이 아니라 기능이지만, 인간이 여전히 공격 표면으로 남는다는 것을 의미합니다.

어떤 하드웨어 지갑도 당신이 공격자에게 시드 구문을 직접 읽어주는 것을 막을 수 없습니다. 어떤 콜드 스토리지 솔루션도 당신 자신의 신뢰로부터 당신을 보호할 수 없습니다. 당신이 비밀을 폭로하도록 설득당한다면 세계에서 가장 정교한 암호화 보안도 무용지물입니다.

2억 5,000만 달러짜리 실수로부터 배우는 교훈

시드 구문을 절대로 공유하지 마세요

아무리 강조해도 지나치지 않습니다. 그 어떤 합법적인 회사, 고객 지원 담당자 또는 서비스도 귀하의 시드 구문을 요구하지 않습니다. Trezor도, Ledger도, 거래소도, 지갑 제공업체도, 블록체인 개발자도, 법 집행 기관도 아닙니다. 그 누구도 요구하지 않습니다.

귀하의 시드 구문은 전 재산에 대한 마스터 키와 같습니다. 이를 공개하는 것은 모든 것을 넘겨주는 것과 같습니다. 이 규칙에는 예외가 없습니다.

먼저 연락 오는 곳을 의심하세요

공격자가 피해자에게 먼저 연락을 취했습니다. 그 반대가 아니었습니다. 이것은 중요한 위험 신호입니다. 합법적인 지원 상호 작용은 거의 항상 귀하가 공식 채널을 통해 먼저 연락함으로써 시작됩니다. 누군가가 요청하지 않은 상태에서 전화나 메시지를 보내는 방식으로 시작되지 않습니다.

암호화폐 서비스라고 주장하는 곳으로부터 연락을 받았을 경우:

  • 전화를 끊고 회사 웹사이트의 공식 번호를 통해 다시 전화하세요.
  • 요청하지 않은 이메일이나 메시지에 포함된 링크를 클릭하지 마세요.
  • 여러 독립적인 채널을 통해 연락처를 확인하세요.
  • 의심스러울 때는 정당성을 확인할 때까지 아무것도 하지 마세요.

복구 가능한 것과 불가능한 것을 이해하세요

암호화폐가 모네로(Monero)로 이동하거나 프라이버시 보호 프로토콜을 통해 믹싱(tumbled)되면 사실상 복구가 불가능합니다. ZeroShadow가 동결에 성공한 70만 달러는 신속한 대응으로 얻은 최상의 시나리오였지만, 여전히 전체의 0.3 % 미만이었습니다.

보험, 법적 구제, 블록체인 포렌식 모두 한계가 있습니다. 예방만이 유일하게 신뢰할 수 있는 보호책입니다.

자산을 분산하세요

단 하나의 시드 구문이 2억 8,200만 달러의 자산을 통제해서는 안 됩니다. 여러 지갑, 여러 시드 구문, 여러 보안 방식에 자금을 분산하면 중복성이 생성됩니다. 하나가 실패하더라도 모든 것을 잃지는 않습니다.

불편한 질문들

2억 8,200만 달러의 도난 사건은 암호화폐 생태계에 쉽게 답할 수 없는 질문들을 남겼습니다:

탈중앙화 프로토콜이 자금 세탁 방지에 책임을 져야 할까요? 이 도난 사건과 14억 달러 규모의 Bybit 세탁 사건에서 THORChain의 역할은 허가 없는 인프라가 범죄자의 도구가 될 수 있음을 시사합니다. 하지만 제한을 추가하는 것은 "탈중앙화"의 의미를 근본적으로 바꿉니다.

프라이버시 코인이 범죄 예방과 공존할 수 있을까요? 모네로의 프라이버시 기능은 정당하며 유효한 목적을 수행합니다. 하지만 바로 그 기능이 2억 8,200만 달러를 사실상 추적 불가능하게 만들었습니다. 기술은 중립적이지만, 그 영향은 그렇지 않습니다.

업계는 AI로 강화된 사회공학적 기법에 대비하고 있습니까? 음성 복제와 딥페이크 기술로 사칭 공격의 수익성이 4.5배 높아진다면, 기술이 10배 더 정교해질 때는 어떤 일이 벌어질까요?

2026년 1월 10일의 피해자는 암호화폐 보안에 대해 가능한 가장 가혹한 교훈을 얻었습니다. 다른 모든 이들에게 이 교훈은 주의를 기울이는 대가로 얻을 수 있습니다. 수십억 달러가 몇 초 만에 이동할 수 있는 세상에서, 가장 약한 고리는 항상 인간입니다.

안전한 Web3 애플리케이션을 구축하려면 강력한 인프라가 필요합니다. BlockEden.xyz는 모니터링 및 이상 탐지 기능이 내장된 엔터프라이즈급 RPC 노드와 API를 제공하여 개발자가 사용자에게 영향을 미치기 전에 비정상적인 활동을 식별할 수 있도록 돕습니다. 당사의 API 마켓플레이스를 탐색하여 보안 중심의 기반 위에서 구축해 보세요.

Share on Twitter