본문으로 건너뛰기

Operation Atlantic: How Coinbase, the Secret Service, and the NCA Froze $12M in Stolen Crypto in One Week

· 약 8 분
Dora Noda
Dora Noda
Software Engineer

2026년 1월 한 달 동안만 해도 피싱 공격으로 인해 암호화폐 사용자들로부터 3억 1,100만 달러 이상이 탈취되었습니다. 대부분의 피해자들이 자신의 지갑이 침해되었다는 사실을 깨달을 때쯤이면, 자금은 이미 믹서(mixer)와 크로스체인 브릿지를 통해 흩어지고 있었습니다. 수년간 법 집행 기관은 뒤쫓기만 했습니다. 범죄 발생 수개월 후에 수사하고, 달러 단위의 보상만 받을 수 있었습니다.

그러다 Operation Atlantic이 나타났습니다.

2026년 3월 16일 런던의 영국 국가범죄청(NCA) 본부에서 시작된 Operation Atlantic은 미국 비밀경호국, 캐나다 법 집행 기관, 블록체인 분석 회사인 Chainalysis와 TRM Labs, 그리고 암호화폐 거래소 Coinbase와 Kraken을 모아 전례 없는 주간 집중 작전을 벌였습니다. 결과는 다음과 같았습니다: 1,200만 달러 동결, 4,500만 달러 규모의 사기 탐지, 30개 국가에 걸친 20,000명의 피해자 지갑 확인, 그리고 120개 이상의 사기 도메인 차단 — 모두 7일 안에 달성되었습니다.

이것은 전형적인 수사가 아니었습니다. 공공-민간 파트너십이 암호화폐 보안을 사후 대응식 포렌식에서 실시간 개입으로 전환할 수 있다는 개념 증명이었습니다.

Approval Phishing이란 무엇인가 — 그리고 왜 이렇게 위험한가?

전통적인 피싱이 로그인 자격증명을 훔치는 것과 달리, approval phishing은 스마트 계약 자체에 내장된 권한 아키텍처를 악용합니다. 피해자들은 합법적인 투자 기회, NFT 민트, 또는 DeFi 수익률 플랫폼처럼 보이는 것에 유인됩니다. 그들이 서명하는 거래는 일상적으로 보이지만 실제로는 공격자에게 자신의 지갑 토큰에 대한 무제한 지출 권한을 부여합니다.

공격자는 당신의 개인 키를 필요로 하지 않습니다. 그들은 이미 당신의 권한을 가지고 있습니다.

Approval phishing이 특히 교활한 이유는 시간 지연입니다. 공격자들은 종종 지갑을 비우기 전에 며칠이나 몇 주를 기다렸다가, 피해자들이 악의적인 승인을 도둑질과 연결하기 거의 불가능하게 만듭니다. 자금이 사라질 때쯤이면, 피해자들은 수십 개의 합법적인 거래에 서명했을 수 있으며, 사기성 승인을 거래 내역 깊숙이 묻어 버렸습니다.

Chainalysis의 2026 Crypto Crime Report에 따르면, approval phishing과 승인 남용은 암호화폐 생태계에서 여전히 지배적인 공격 벡터입니다. 이 기술은 효율적으로 확장됩니다: 단 하나의 피싱 캠페인도 수천 개의 악의적인 승인을 생성할 수 있으며, 공격자는 자신의 일정에 따라 지갑을 비울 수 있습니다.

Operation Atlantic 내부: 주간 집중 작전

Operation Atlantic은 수개월의 느린 수사가 아니었습니다. 이것은 기관과 민간 부문 파트너를 NCA 런던 본부에 물리적으로 모아 집중된 작전 스프린트로 설계되었습니다.

참가자들은 다음을 포함했습니다:

  • 법 집행 기관: 미국 비밀경호국, 영국 국가범죄청(NCA), 캐나다 당국
  • 블록체인 분석: Chainalysis와 TRM Labs는 거래 추적 및 지갑 클러스터링을 제공했습니다
  • 암호화폐 거래소: Coinbase의 Global Intelligence 팀과 Kraken은 거래소 데이터, 지갑 식별 및 자금 동결 기능에 기여했습니다

이 작전은 3단계로 진행되었습니다:

Phase 1 — 식별(Identification). 블록체인 분석을 사용하여, 수사관들은 여러 체인에 걸친 approval phishing 거래 패턴을 매핑했습니다. 그들은 30개 이상의 국가에서 사기 피해자와 연결된 20,000개 이상의 지갑 주소를 확인했습니다.

Phase 2 — 개입(Intervention). 미래 기소를 위한 사건을 구축하는 대신, 팀은 실시간 피해자 보호를 우선시했습니다. 적극적으로 위험에 처해 있는 것으로 확인된 3,000명 이상의 개인에게 직접 연락했습니다 — 자신의 지갑이 침해되었다고 경고하고 공격자가 남은 자금을 비우기 전에 악의적인 승인을 취소하는 방법을 지도했습니다.

Phase 3 — 동결(Freezing). 거래소 및 스테이블코인 발행자와 협력하여 공격자들이 현금화를 시도한 출구 지점에서 1,200만 달러의 탈취 자금을 동결했습니다. 추가로 3,300만 달러의 사기성 흐름이 매핑되고 지속적인 수사를 위해 표시되었습니다. 사기꾼들이 사용한 120개 이상의 웹 도메인이 식별되고 차단되었습니다.

패러다임 전환: 포스트 해킹에서 프리 드레인으로

전통적인 암호화폐 범죄 수사 타임라인은 다음과 같습니다: 해킹이 발생하고, 피해자들이 수주 후에 손실을 신고하고, 수사관들이 수개월 동안 자금을 추적하며, 자산이 동결될 때쯤이면 — 만약 동결된다면 — 대부분이 이미 믹서, 브릿지, 그리고 해외 거래소를 통해 세탁되었습니다.

Operation Atlantic은 이 타임라인을 수개월에서 수일로 압축했습니다. 중요한 혁신은 단일 기술이 아니라 운영 모델 자체였습니다: 법 집행 기관과 민간 부문 분석가를 같은 방에 배치하고, 블록체인 데이터와 거래소 시스템에 실시간으로 접근할 수 있게 한 것입니다.

이것이 중요한 이유는 블록체인 거래는 되돌릴 수 없지만 현금화 계층에서는 순간적이지 않기 때문입니다. 공격자들은 여전히 탈취한 암호화폐를 거래소, OTC 데스크, 또는 스테이블코인 상환을 통해 법정화폐로 전환해야 합니다. 그 출구 지점이 개입이 가능한 곳입니다 — 하지만 수사관들이 공격자가 자금을 이동하는 것보다 빠르게 추적하고 동결할 수 있을 때만 가능합니다.

Coinbase의 기록은 잠재력을 보여줍니다. Operation Atlantic 이전에도, Coinbase의 Global Intelligence 팀은 이미 비밀경호국이 돼지 도살 사기에서 2억 2,500만 달러의 USDT를 압수하도록 도왔으며, 1,000명 이상의 사용자를 대상으로 한 피싱 캠페인에서 2,860만 달러의 회수를 지원했으며, 350만 달러의 탈취 자금을 추적한 폭력 범죄 조직을 해체하는 것을 도왔습니다.

문제의 규모: 지금 왜 중요한가?

Operation Atlantic의 1,200만 달러 동결은 그 규모 — 전체 암호화폐 범죄의 일부분입니다 — 때문이 아니라 운영 속도에 대해 증명할 수 있다는 점에서 중요합니다. 긴급성은 문제의 순수한 규모에 의해 주도됩니다:

  • 1,540억 달러 의 불법 암호화폐 흐름이 2025년에 기록되었으며, Chainalysis에 따르면 전년 대비 162% 증가합니다
  • 170억 달러 는 2025년에 암호화폐 사기 및 사기를 통해 전 지구적으로 탈취되었습니다
  • 20억 달러 는 2025년에 DPRK 연계 해커들만 탈취했습니다
  • AI 지원 사기 는 전통적인 사기보다 4.5배 수익성이 높으며, 사칭 사기는 2025년에 1,400% 이상 급증했습니다

암호화폐 범죄의 산업화가 가속화되고 있습니다. Phishing-as-a-service 플랫폼을 통해 저수준의 공격자도 정교한 approval phishing 캠페인을 배포할 수 있습니다. AI 생성 딥페이크를 통해 거래소 지원 담당자, 프로젝트 창립자, 심지어 정부 관리들의 설득력 있는 사칭이 가능합니다. 그리고 DeFi 총 가치 고정(total value locked)이 증가함에 따라 공격 표면이 확대됩니다.

이러한 배경 속에서, 공공-민간 파트너십이 작동하는지 여부는 아니라는 질문이 아닙니다 — Operation Atlantic이 그것을 답했습니다. 질문은 그것이 확장할 수 있는지 여부입니다.

모델이 확장될 수 있을까? 앞에 놓인 도전 과제

Operation Atlantic은 성공했지만 또한 예외였습니다. NCA 본부에서 여러 기관 및 회사의 전담 팀과 함께 진행하는 주간 스프린트는 비용이 많이 들고 지속적으로 복제하기 어렵습니다. 몇 가지 구조적 도전이 남아 있습니다:

관할권 단편화. 암호화폐 범죄는 본질적으로 국경을 넘지만, 자산 동결, 정보 공유, 그리고 범죄자 기소에 대한 법적 프레임워크는 국가별로 극적으로 다릅니다. Operation Atlantic은 부분적으로 호환 가능한 법적 체계를 가진 연합국(미국, 영국, 캐나다)에 초점을 맞췄기 때문에 성공했습니다. 서방 법 집행 기관과 덜 협력적인 관할권으로 확대하는 것은 훨씬 더 어렵습니다.

속도 vs. 개인정보 보호. 실시간 개입에는 블록체인 거래 및 거래소 계정의 실시간 감시가 필요합니다. 이것은 동일한 기능이 피해자를 보호하는 데 사용될 수 있고 대규모 금융 감시에 사용될 수 있다고 주장하는 개인정보 보호 옹호자들과의 긴장을 만듭니다. Tornado Cash 기소는 자금 세탁 방지 집행과 개인정보 보호 도구 범죄화 사이의 선이 얼마나 얇을 수 있는지를 보여주었습니다.

중앙화 위험. Coinbase의 인텔리전스 기능은 경쟁 우위를 만듭니다 — 기관 클라이언트는 적극적으로 탈취한 자금을 회수하는 거래소를 신뢰합니다. 하지만 비평가들은 감시 기능을 민간 회사에 집중시키면 누가 감시자를 감시하는지에 대한 질문을 제기한다고 지적합니다. Coinbase가 자금을 추적하고 동결할 수 있다면, 그 기능의 오용을 방지하는 것은 무엇입니까?

공격자 적응. 정교한 공격자들은 이미 프라이버시 체인, 크로스체인 브릿지, 그리고 호출할 규정 준수 팀이 없는 분산형 거래소로 이동하고 있습니다. Operation Atlantic은 주로 중앙화된 출구 지점에서 자금을 동결했습니다. DeFi 인프라가 성숙해지고 공격자들이 더 분산형 오프-램프를 찾으면, 개입 창은 좁혀집니다.

블록체인 포렌식 군비 경쟁

Operation Atlantic은 고립되어 발생하지 않았습니다. 그것은 빠르게 성장하는 블록체인 포렌식 생태계 내에 위치합니다:

  • Chainalysis 는 누적 정부 계약에서 1억 3,000만 달러 이상을 받았으며 최근 1,000만 건 이상의 사건으로 훈련된 AI 기반 Blockchain Intelligence Agents를 출시했습니다
  • TRM Labs 는 자연어 블록체인 수사를 위한 Co-Case Agent를 배포했으며 Operation Atlantic의 분석 작업을 직접 지원했습니다
  • Coinbase 는 최근 Microsoft와 파트너십을 맺고 글로벌 규모의 자격증명 탈취를 강화하는 phishing-as-a-service 플랫폼인 Tycoon 2FA를 차단했습니다

AI와 블록체인 분석의 수렴은 탐지 기능을 가속화하고 있습니다. 하지만 조사관들을 도와주는 동일한 AI 도구들도 공격자들이 사용할 수 있습니다. 방어가 공격과 보조를 맞출 수 있는지에 대한 질문은 여전히 열려 있습니다.

분명한 것은 구식 모델 — 해킹을 기다리고, 수개월 수사하고, 거의 아무것도 복구하지 못하는 — 은 구식이라는 것입니다. Operation Atlantic은 올바른 운영 모델을 통해 개입이 수개월이 아닌 수일 만에 일어날 수 있음을 보여주었습니다. 지금의 도전은 그것을 예외가 아닌 규범으로 만드는 것입니다.

사용자가 오늘 할 수 있는 것

Atlantic과 같은 제도적 차원의 작전이 대규모로 피해자를 보호하는 동안, 개별 사용자들은 자신을 보호하기 위해 즉시 조치를 취할 수 있습니다:

  1. 토큰 승인을 정기적으로 감시하십시오. Revoke.cash 및 Etherscan의 Token Approval Checker 같은 도구를 사용하면 지갑의 활성 승인을 확인하고 취소할 수 있습니다.
  2. 서명하도록 요청받는 모든 거래에 회의적이세요. 합법적인 플랫폼은 거의 무제한 토큰 승인을 요구하지 않습니다. dApp이 거래에 필요한 것보다 많은 토큰에 대한 승인을 요청하면, 그것은 위험 신호입니다.
  3. 상당한 보유량에는 하드웨어 지갑을 사용하십시오. 악의적인 승인에 서명했더라도, 자산을 별도의 하드웨어 지갑에 보유하면 노출이 제한됩니다.
  4. 지갑 활동을 모니터링하십시오. 발신 거래를 알려주는 서비스를 통해 알림을 설정하면 공격자가 휴면 승인을 활성화할 경우 빠르게 대응할 수 있습니다.

미래를 바라보며: 암호화폐 보안의 미래

Operation Atlantic은 암호화폐 산업이 보안에 접근하는 방식의 전환점을 나타냅니다. 사후 대응 수사에서 사전 개입으로의 전환은 지난 2년간 전통적인 금융 범죄에서 일어난 일과 유사합니다 — 포스트 브리치 포렌식에서 의심스러운 거래가 결제되기 전에 신고하는 실시간 부정 탐지 시스템으로.

암호화폐의 경우, 이 진화는 너무 늦었습니다. 블록체인 거래를 추적하는 기술은 수년 동안 존재했습니다. 무엇이 빠졌는지는 그 인텔리전스에 대해 중요한 만큼 빠르게 행동할 수 있는 운영 프레임워크입니다. Operation Atlantic은 그 프레임워크가 작동할 수 있음을 증명했습니다. 이제 산업 — 거래소, 분석 회사, 규제기관, 그리고 법 집행 기관 — 이 그것을 영구적으로 만드는 데 투자할지 결정해야 합니다.

단일 주간에 동결된 1,200만 달러는 연간 1,540억 달러의 불법 흐름에 비하면 작은 숫자입니다. 하지만 식별된 20,000명의 피해자와 자금이 빠져나가기 전에 경고받은 3,000명은 어떤 달러 수치보다 더 가치 있는 것을 나타냅니다: 암호화폐 생태계가 사후적이 아니라 실시간으로 사용자를 보호할 수 있다는 증명입니다.

BlockEden.xyz는 안전하고 투명한 Web3 애플리케이션을 구축하는 개발자를 위한 엔터프라이즈급 블록체인 API 및 노드 인프라를 제공합니다. 블록체인 포렌식과 온체인 보안이 중요한 인프라가 됨에 따라, 신뢰할 수 있는 노드 접근과 실시간 데이터는 Atlantic과 같은 작전을 가능하게 하는 기초를 형성합니다. API 마켓플레이스를 살펴보고 블록체인 보안의 차세대를 위해 설계된 인프라 위에 구축하세요.

Share on Twitter