Circle, 도난당한 2억 8,500만 달러 상당의 USDC를 동결할 수 있었던 6시간의 기회에도 불구하고 아무런 조치도 취하지 않았다
6시간. 2026년 만우절, 미국 업무 시간 중 대낮에, 세계 모든 USDC 토큰을 발행하고 제어하는 기업이 지켜만 보며 아무 조치도 취하지 않는 동안, 도난당한 2억 3,200만 달러 상당의 USDC가 서클(Circle) 자체의 크로스체인 전송 프로토콜(CCTP)을 통해 솔라나(Solana)에서 이더리움(Ethereum)으로 흘러 들어간 시간입니다. 2026년 최대의 디파이(DeFi) 해킹으로 확인된 드리프트 프로토콜(Drift Protocol) 익스플로잇은 스테이블코인 발행사가 생태계에 어떤 책무를 지는지, 그리고 "선택적 집행"이 아무런 조치도 취하지 않는 것보다 더 나쁜 것인지에 대한 격렬한 논쟁을 불러일으켰습니다.
드리프트 프로토콜 강탈 사건: 12분 만에 사라진 2억 8,500만 달러
2026년 4월 1일, 공격자들은 솔라나 기반의 선도적인 무기한 선물 거래소인 드리프트 프로토콜에서 2억 8,500만 달러를 탈취했습니다. 이번 익스플로잇은 단순한 ��스마트 컨트랙트 버그가 아니었습니다. 블록체인 분석업체 엘립틱(Elliptic)은 이번 공격을 북한의 라자루스 그룹(Lazarus Group)의 소행으로 규정했습니다. 이들은 14억 달러 규모의 바이비트(Bybit) 해킹 배후에 있는 국가 지원 해커 그룹으로, 2026년에만 18번째 암호화폐 작전을 수행한 것으로 알려졌습니다.
공격자들은 3주 동안 기초 작업을 진행했습니다. 3월 11일부터 토네이도 캐시(Tornado Cash)에서 ETH를 인출하고 CVT(carbonvote token)라는 가짜 담보 토큰을 배포했으며, 레이디움(Raydium)에 최소한의 유동성을 공급하고 자전거래를 통해 가격을 1.00달러 근처로 유지했습니다. 3월 23일부터 3월 30일 사이에는 여러 개의 "듀러블 넌스(durable nonce)" 계정을 생성했습니다. 이는 트랜잭션을 미리 서명하고 만료 없이 나중에 실행할 수 있게 해주는 정당한 솔라나 기능입니다.
사회 공학적 기법을 통해 드리프트의 5개 보안 위원회 멀티시그(Security Council multisig) 서명자 중 2명이 일상적인 트랜잭션으로 보이는 항목에 미리 서명하도록 속았습니다. 이러한 서명은 듀러블 넌스 익스플로잇과 결합되어 공격자에게 프로토콜 수준의 관리 권한을 부여했습니다. 단 12분 만에 공격자들은 드리프트의 핵심 금고를 비웠으며, 이는 3억 2,600만 달러 규모의 웜홀(Wormhole) 브리지 해킹에 이어 솔라나 역사상 두 번째로 큰 익스플로잇이 되었습니다.
그다음에 일어난 일은 서클에 있어 매우 치명적인 부분이었습니다.
6시간, 100건 이상의 트랜잭션, 제로 개입
공격자는 탈취한 자산(주로 USDC와 SOL)을 통합하고 서클 자체의 CCTP를 사용하여 솔라나에서 이더리움으로 브리징하기 시작했습니다. 약 6시간 동안 100건 이상의 개별 트랜잭션을 통해 2억 3,200만 달러 상당의 USDC가 서클의 인프라를 통과했습니다.
이는 외딴 시간대의 한밤중에 벌어진 일이 아니었습니다. 브리징 활동은 서클의 컴플라이언스 및 운영팀이 자리에 있었을 미국 업무 시간 중에 발생했습니다. 블록체인 조사관 ZachXBT가 가장 먼저 침묵을 깼습니다. "9자릿수 금액의 드리프트 해킹이 발생한 후, 미국 업무 시간 동안 수백만 달러의 USDC가 CCTP를 통해 솔라나에서 이더리움으로 몇 시간 동안 스왑되는 동안 서클은 잠들어 있었다."
서클의 반응은 어땠을까요? 회사는 제재 대상 지정, 법 집행 기관의 명령 또는 법원 판결에 따라 "법적으로 요구되는" 경우에만 자산을 동결한다고 밝혔습니다. 공식적인 법적 지침 없이는 독단적으로 자금을 동결할 수 없다는 입장을 고수했습니다.
선택적 집행의 문제
서클의 법적 논리는 타당해 보였을 수도 있습니다. 하지만 불과 9일 전에 일어난 사건이 없었다면 말이죠.
2026년 3월 23일, 서클은 비공개 미국 민사 사건과 연관된 16개 지갑의 USDC 잔액을 동결했습니다. 그중 5개 지갑은 커뮤니티가 합법적인 기업 소유임을 알린 후 나중에 동결이 해제��되었습니다. ZachXBT는 3월 23일의 동결을 지난 5년 동안 온체인 조사에서 목격한 "가장 무능한" 단일 조치일 가능성이 높다고 비판했습니다.
이 두 상황의 대비는 극명합니다. 서클은 민사 소송에서는 계정을 신속하게 동결하여 무고한 기업에 피해를 줄 가능성을 감수하면서도, 수억 달러의 해킹 수익금이 실시간으로 자체 브리지를 통해 흘러 나갈 때는 수수방관했습니다. 커뮤니티의 결론은 단호했습니다. 서클은 사용자가 강도를 당할 때가 아니라 변호사가 요청할 때 동결한다는 것입니다.
4월 3일, ZachXBT는 2022년까지 거슬러 올라가는 최소 15건의 사례에서 4억 2,000만 달러 이상의 컴플라이언스 실패를 주장하는 상세한 스레드인 "서클 USDC 파일(Circle USDC Files)"을 게시하며 공세를 높였습니다. 그는 각 사례에서 서클이 개입할 수 있는 기술적 역량을 갖추고 있었음에도 불구하고 개입하지 않기로 선택했다고 주장했습니다.
33억 달러의 격차: 테더의 접근 방식은 어떻게 다른가
서클의 무대응은 경쟁사인 테더(Tether)와 비교할 때 더욱 눈에 띕니다. AMLBot의 보고서에 따르면, 2023년에서 2025년 사이 테더는 블랙리스트에 오른 7,268개 주소에서 33억 달러 상당의 USDT를 동결했습니다. 이는 같은 기간 동안 서클이 단 372개 주소에서 동결한 1억 900만 달러의 거의 30배에 달하�는 수치입니다.
테더의 보다 공격적인 자세는 단순한 동결에 그치지 않습니다. 테더는 동결된 토큰을 소각하고 대체 토큰을 재발행할 수 있는 능력을 갖추고 있어, 도난당한 자금을 피해자나 법 집행 기관에 효과적으로 되돌려 줄 수 있습니다. 테더가 차단한 주소 중 2,800개 이상은 미국 기관들과 직접 협력하여 처리되었습니다.
철학적 차이는 분명합니다. 과거 BVI에 거주하다가 현재 엘살바도르에 기반을 둔 테더는 "선 동결, 후 법적 절차"라는 보다 개입주의적인 태도로 운영됩니다. 반면, 오랫동안 기다려온 IPO를 준비 중인 미국 규제 대상 기업인 서클은 법원의 명령 없이는 동결도 없다는 엄격한 법률주의적 접근 방식을 취합니다.
하지만 드리프트 해킹은 서클 프레임워크의 치명적인 결함을 노출시켰습니다. 2026년 최대 규모의 해킹이 업무 시간에 자사 브리지에서 발생했음에도 불구하고 "우리의 문제가 아니다"라는 식의 반응을 보인다면, 시장은 "컴플라이언스 우선"이라는 브랜드가 실제로는 "컴플라이언스 회피"를 위한 핑계가 아닌지 의심하기 시작할 것입니다.
불가능한 트릴레마: 규제 준수, 속도, 그리고 탈중앙화
Drift-Circle 논란은 스테이블코인 산업 전체의 더 깊은 구조적 문제, 즉 '스테이블코인 동결 트릴레마'라고 부를 수 있는 문제를 드러냅니다.
너무 공격적으로 동결하면, DeFi 사용자를 소외시키고 무고한 계정을 동결할 위험이 있습니다 (3월 23일 Circle이 보여준 사례처럼). 또한 적절한 권한 없이 행동할 경우 법적 책임을 질 수도 있습니다.
너무 느리게 동결하면 (혹은 전혀 하지 않으면), 수억 달러가 국가 지원 해커들에게 흘러 들어갑니다. 핵심 금융 인프라로서의 신뢰를 잃게 됩니다.
동결 기능을 완전히 제거하면, 규제를 준수할 수 없으며 더 나쁜 결과를 초래할 수 있습니다.
Ripple의 전 CTO인 데이비드 슈워츠 (David Schwartz)는 Drift 해킹 이후 이러한 긴장 관계에 대해 의견을 냈습니다. "동결 없는" 스테이블코인이 경쟁 차별화 요소로 등장할 것이라는 콜롬비아 비즈니스 스쿨 오미드 말레칸 (Omid Malekan) 교수의 예측에 대해 슈워츠는 그것이 근본적으로 불가능하다고 주장했습니다. "스테이블코인의 핵심은 발행자가 법정화폐로 상환해야 할 법적 의무를 나타낸다는 점입니다. 법원 명령은 그 법적 의무를 해소합니다." 만약 유통 중인 일부 스테이블코인이 더 이상 상환 가능한 의무를 나타내지 않는다면, 토큰 전체가 부분 지급 준비금 (fractional reserve)이 되어 스테이블코인의 정의인 안정성 자체를 훼손하게 됩니다.
규제적 심판
Drift 해킹의 시점은 스테이블코인 규제 의제에 있어 이보다 더 나쁠 수 없거나, 혹은 더 많은 것을 시사할 수 없습니다.
이제 법으로 제정된 GENIUS ��법 (GENIUS Act)은 스테이블코인 발행자가 법적으로 요구될 때 토큰을 동결할 수 있는 기술적 능력을 유지할 것을 명시적으로 요구합니다. 하지만 "법적으로 요구되는" 지점이 바로 Circle이 이용하고 있는 회색 지대입니다. 법은 동결 능력을 의무화하지만, 법원 명령이 없는 상황에서 활발한 해킹에 대한 실시간 대응을 의무화하지는 않습니다.
한편, 국제자금세탁방지기구 (FATF)는 더 선제적인 모델을 추진하고 있습니다. 2026년 3월 목표 보고서는 발행자와 가상자산 서비스 제공자 (VASP)가 피어 투 피어 (P2P) 거래를 포함한 스테이블코인 생애 주기 전체를 모니터링하고, 제재 대상 및 고위험 주소의 거래를 실시간으로 차단할 수 있는 "멀티 홉 (multi-hop)" 분석을 자동화하도록 권장합니다.
전통 금융과의 대조는 시사하는 바가 큽니다. 규정 E (Regulation E)에 따라 미국 은행은 사기 피해자에게 영업일 기준 10일 이내에 임시 크레딧을 제공해야 합니다. 은행 시스템에는 명확하고 집행 가능한 대응 시간 기대치가 있습니다. 현재 3,080억 달러 규모에 달하는 스테이블코인 시장에는 그런 것이 없습니다.
만약 Circle의 법적 입장이 법원 명령 없이는 도난 자금을 동결할 수 없다는 것이라면, 업계는 몇 주가 아닌 몇 시간 내에 긴급 명령을 얻을 수 있는 메커니즘이 필요합니다. 만약 Circle의 실제 입장이 민사 사건에서는 재량껏 동결하면서도 법원 명령 없이는 동결하지 않기로 선택하는 것이라면, 선택적 집행 문제는 법적 위기가 아닌 거버넌스의 위기입니다.
앞으로의 전망
Drift 해킹과 Circle의 무대응은 이미 진행 중인 몇 가지 추세를 가속화할 가능성이 높습니다.
-
자동화된 동결 프로토콜: Elliptic, TRM Labs, Chainalysis와 같은 온체인 모니터링 기업들은 이미 실시간으로 도난 자금을 추적하고 있습니다. 누락된 연결 고리는 신용카드 네트워크가 의심스러운 거래를 자동으로 차단하는 것과 유사하게, 검증된 해킹 탐지에 의해 트리거될 수 있는 사전 승인된 스마트 컨트랙트 기반 동결 메커니즘입니다.
-
스테이블코인 SLA: 은행이 사기에 대해 법적으로 규정된 대응 시간을 갖는 것처럼, 스테이블코인 발행자도 특히 CCTP와 같은 자체 독점 인프라를 통해 자금이 이동할 때 대응 시간 약속에 대한 규제 요구 사항에 직면할 수 있습니다.
-
발행자 간의 경쟁 압력: Tether가 Circle보다 30배 더 높은 동결 실적을 가진 것은 이제 단순한 규제 준수 지표가 아니라 마케팅 포인트가 되었습니다. Ripple의 RLUSD와 같은 신규 진입자들은 첫날부터 GENIUS 법을 준수하도록 동결 메커니즘을 명시적으로 설계하고 있습니다.
-
DeFi 보안 업그레이드: 멀티시그 서명자가 내구성 있는 논스 (durable nonce) 트랜잭션에 사전 서명하도록 사회 공학적 기법을 사용한 Drift 해킹 사례는 프로토콜들이 관리 키 관리를 재고하게 만들 것입니다. 타임락 실행, 하드웨어 보안 모듈 (HSM), 멀티시그 트랜잭션의 독립적 검증이 표준이 될 가능성이 높습니다.
3,080억 달러 규모의 스테이블코인 시장은 암호화폐의 제도권 진입 야망의 중심에 있습니다. 블록체인 인프라를 탐색하는 모든 주요 은행, 자산 운용사, 핀테크 기업은 스테이블코인이 고정 가치 (peg)뿐만 아니라 이를 둘러싼 거버넌스 프레임워크 측면에서도 신뢰할 수 있다는 가정에 의존합니다.
Circle은 USDC가 자신이 추구하는 제도적 신뢰를 받을 가치가 있는 핵심 금융 인프라임을 증명할 6시간의 시간이 있었습니다. 대신, 2026년 최대 규모의 해킹이 자사의 레일 위에서 벌어질 때 침묵으로 일관했습니다.
시장은 이를 잊지 않을 것입니다.
가장 중요한 순간에 신뢰할 수 있는 파트너와 함께 블록체인 인프라를 구축해야 합니다. BlockEden.xyz는 20개 이상의 체인에서 엔터프라이즈급 RPC 및 API 서비스를 제공하며, 미션 크리티컬 애플리케이션이 요구하는 신뢰성과 투명성을 바탕으로 설계되었습니다.