본문으로 건너뛰기

미 재무부 OCCIP, 암호화폐를 연방 사이버 방어망으로 편입

· 약 10 분
Dora Noda
Dora Noda
Software Engineer

미국 역사상 처음으로 재무부는 암호화폐 기업을 은행과 동일하게 취급하고 있습니다 — 적어도 들어오는 위협을 누가 확인하는지에 관해서는 말입니다. 2026년 4월 10일, 사이버 보안 및 중요 인프라 보호국 (OCCIP)은 적격 디지털 자산 기업들이 연방 정부가 역사적으로 FDIC 보험 가입 은행 및 기타 전통 금융 기관을 위해 남겨두었던 것과 동일한 실행 가능한 사이버 보안 인텔리전스를 비용 없이 제공받게 될 것이라고 발표했습니다.

이는 보도 자료의 작은 한 줄에 불과하지만, 조용하지만 심오한 변화를 시사합니다. 워싱턴이 암호화폐를 주변부 기술 섹터로 취급하는 것을 멈추고 금융 시스템의 중요 인프라의 일부로 취급하기 시작했다는 것입니다.

5억 7,800만 달러의 멍 위에 세워진 정책

이 타이밍은 우연이 아닙니다. 여러 지표로 볼 때 2026년 4월은 Bybit 사건 이후 DeFi 보안에 있어 최악의 달이었습니다. 단 18일 동안 12건의 개별 익스플로잇을 통해 약 6억 600만 달러가 유출되었습니다. 라자루스 그룹 (Lazarus Group)만 이 기간 동안 5억 7,800만 달러를 이동시켰습니다.

두 건의 공격이 피해의 대부분을 차지했습니다:

  • Drift Protocol — 2억 8,500만 달러, 2026년 4월 1일. 북한 연계 그룹 UNC4736 (AppleJeus, Citrine Sleet, Gleaming Pisces로도 추적됨)에 의한 것으로 추정되는 공격자들은 6개월간의 사회 공학적 작전을 완료했습니다. 그들은 퀀트 트레이딩 기업으로 위장하여 Drift 기여자들의 신뢰를 얻었으며, 솔라나의 "durable nonces" (내구성 있는 넌스) 기능을 남용하여 보안 위원회 멤버들이 관리자 권한을 조용히 이전하는 휴면 트랜잭션에 사전 서명하도록 속였습니다. 러그 풀이 발생한 순간부터 금고는 약 12분 만에 바닥났습니다.
  • KelpDAO — 2억 9,200만 달러, 2026년 4월 18일. 단 한 건의 위조된 LayerZero 메시지로 인해 KelpDAO의 크로스 체인 브리지에서 116,500 rsETH가 유출되었으며, 이는 올해 단일 DeFi 익스플로잇 중 최대 규모입니다.

TRM Labs에 따르면, 북한은 현재 2026년 암호화폐 해킹 손실의 약 76%를 차지하고 있으며, 2017년 이후 누적 절도액은 60억 달러를 넘어섰습니다. 이것은 더 이상 특정 섹터만의 문제가 아닙니다. 국가 안보의 문제입니다.

OCCIP의 프로그램은 사실상 디지털 자산 플랫폼에 대한 북한 스타일의 타겟팅이 은행 송금, ACH 레일, SWIFT에 대한 국가 지원 공격과 유사하며, 암호화폐 운영자들도 동일한 조기 경보 채널을 누릴 자격이 있다는 연방 정부의 첫 번째 인정입니다.

암호화폐 기업이 실제로 얻는 것

헤드라인은 "무료 사이버 보안 인텔리전스"입니다. 그 실체는 더 흥미롭습니다. 적격 미국 디지털 자산 기업은 이제 재무부가 금융 섹터를 공격자보다 앞서 나가게 하기 위해 사용하는 것과 동일한 위협 인텔리전스 흐름에 대한 액세스를 요청할 수 있습니다. 실제로 여기에는 다음과 같은 계층화된 피드 세트가 포함됩니다:

  • CISA의 기악용 취약점 (KEV) 카탈로그. 연방 민간 기관은 이미 구속력 있는 운영 지침 22-01에 따라 정해진 기한 내에 KEV에 등재된 CVE를 수정해야 합니다. 목록은 공개되어 있지만, 연방 채널 내부에 있는 것의 가치는 타이밍입니다 — 운영자는 무엇이 야생에서 무기화되고 있는지를 공개 게시판이 되기 전에 알게 됩니다.
  • FBI Flash 및 민간 산업 통지. 이는 공개 보도에 절대 나타나지 않는 기술적 침해 지표 (IOC) 및 적의 수법 (tradecraft)과 함께 진행 중인 캠페인을 다룹니다.
  • 재무부 특화 금융 섹터 IOC. OCCIP 분석가들이 은행 간 보고서를 통해 수집한 지갑 클러스터, 브리지 스테이징 패턴, 믹서 행동 및 트랜잭션 지문입니다. 지금까지는 은행만 볼 수 있었고 중앙화 거래소나 DeFi 프로토콜은 볼 수 없었던 정보입니다.
  • 북한, 이란 연계 및 랜섬웨어 행위자에 대한 섹터별 권고. 이는 Drift의 포렌식 타임라인이 가장 명확하게 강조하는 레이어입니다. 라자루스의 지갑 패턴과 브리지 스테이징 활동은 사후에 식별 가능했습니다. OCCIP 등급의 공유는 자산 유출이 발생하기 전 에 이러한 패턴을 드러내도록 설계되었습니다.

적격 기업은 OCCIP-Coord@treasury.gov로 연락하여 신청할 수 있습니다. "적격" 기준은 발표에서 의도적으로 정의되지 않았습니다 — 재무부는 참가자 풀을 형성할 재량권을 유지하며, 이는 특징인 동시에 마찰 지점이기도 합니다.

이것이 단순한 새 이메일 배포 목록보다 중요한 이유

OCCIP의 발표를 좁게 읽으면 재무부가 새 메일링 리스트를 추가한 것처럼 들립니다. 구조적 해석은 더 중대한 의미를 갖습니다.

지난 10년 동안 미국 정책은 암호화폐 기업을 우연히 돈을 다루게 된 기술 기업으로 취급해 왔습니다. 기본 정보 공유 기구인 FS-ISAC (금융 서비스 정보 공유 및 분석 센터)는 은행식 인가나 유료 산업 계층 뒤에 멤버십을 제한합니다. FS-ISAC은 75개국에 걸쳐 5,000개 이상의 회원사를 보유하고 있지만, 역사적으로 은행, 보험사, 결제 프로세서 및 증권사가 멤버십을 주도해 왔습니다. 암호화폐 네이티브 거래소와 DeFi 프로토콜은 1급 참여자인 경우가 드물었습니다.

OCCIP의 새로운 채널은 FS-ISAC을 대체하지 않습니다. 병행하여 운영됩니다. 그리고 병행 운영함으로써 사실상 다음과 같이 말하고 있습니다: 기업이 은행 주도의 ISAC에 가입하기 위해 비용을 지불할 수 없거나 지불하지 않더라도, 연방 정부는 여전히 해당 기업을 미국이 방어해야 할 중요 금융 인프라의 일부로 취급할 것입니다.

이것이 바로 정책 프레임의 전환입니다. 같은 주에 Coindesk와 The Record는 모두 이 이니셔티브가 암호화폐 기업을 전통적인 기업과 공유되는 해커 경고를 위한 '루프인' (loop-in) 파트너로 만든다고 언급했습니다 — 이는 5년 전의 미국 재무부 성명에서는 상상조차 할 수 없었던 표현입니다.

운영자에게 일어나는 변화

신청을 희망하는 거래소, 커스토디언, 브리지 및 DeFi 프로토콜에는 이전에는 불가능했던 세 가지가 가능해집니다:

무기화된 CVE에 대한 더 빠른 패치 주기. 표준 클라우드 및 DevOps 툴을 실행하는 프로토콜 팀은 이제 익스플로잇이 실제로 발생하고 있다는 사실을 알기 위해 벤더의 권고문이나 공개 CVE 리포트를 기다릴 필요가 없습니다. 재무부의 파이프라인은 대개 공개된 NVD 항목보다 더 일찍 익스플로잇 신호를 포착합니다.

북한(DPRK) 지갑 패턴 알림. 이것은 가장 구체적인 변화입니다. Drift 사례의 포렌식 결과, 라자루스(Lazarus)의 준비 동작이 자금 유출 며칠 전부터 온체인 데이터에 포착되었으나, 어떤 팀도 이를 실행에 옮길 맥락(context)을 가지고 있지 않았습니다. 여러 기업의 관측 사례를 통합하여 운영 센터로 전달하는 연방 채널은, 은행이 의심스러운 ACH 발생 시 "동료 기관이 방금 이 주소에서 커스토디 흐름을 조사하는 것을 목격했다"는 신호를 받는 것과 동일한 기능을 DeFi에 제공합니다.

내부자 리스크 및 채용 파이프라인 지표. Drift 사례는 북한이 이제 가짜 퀀트 회사, 가짜 채용, 가짜 거래 상대방 등을 내세워 사회 공학적 기법에 수개월을 투자한다는 교육적인 사례가 되었습니다. 재무부는 암호화폐 운영자들이 이제 막 대규모로 겪기 시작한 금융 부문 채용 사기 사건의 통합 보고서를 보유하고 있습니다.

반대로, 정보 공유 관계는 상호적입니다. 채널에 머물기 위해 기업들은 사고와 침해 지표(IOC)를 다시 보고해야 할 것입니다. "우리의 보안 태세는 기밀이다"에서 "우리가 보는 것을 연방 정부와 동료들도 본다"로의 문화적 전환이 더 어려운 부분입니다.

정치적 함의: 카지노가 아닌 국가 중요 인프라

직접 언급할 만한 규제적 맥락이 있습니다. 지난 5년의 대부분 동안 미국의 암호화폐 정책은 적대적이었으며, SEC, CFTC, FinCEN은 각기 암호화폐가 무엇인지와 어떻게 감독해야 하는지에 대해 서로 다른 이론을 내세웠습니다. OCCIP의 행보는 연방 정부의 다른 영역인 사이버 및 국가 중요 인프라 부서에서 비롯되었으며, 다른 전제를 바탕으로 합니다.

은행이 OCCIP의 지원을 받는 이유는 재무부가 그들의 대차대조표 모든 항목을 승인해서가 아니라, 그들의 사이버 방어가 실패할 경우 국가의 결제 시스템이 실패하기 때문입니다. 4월 10일 발표의 암묵적인 논거는 이제 암호화폐도 마찬가지라는 것입니다. 3,000억 달러 규모의 스테이블코인 흐름, 190억 달러 이상의 토큰화된 RWA, 그리고 점점 늘어나는 국경 간 결제를 처리하는 레일이 사이버 공격으로 무너진다면, 더 넓은 금융 시스템이 충격을 받게 됩니다.

이것이 신청하지 않는 기업들에게도 이 발표가 중요한 이유입니다. 연방 기관이 디지털 자산 기업을 "대상(covered)" 국가 중요 인프라로 공식적으로 대우하는 것은 향후 모든 논쟁의 정치적 기준선을 바꿉니다. DeFi 규제, 스테이블코인 라이선스, AI 에이전트 결제에 관한 미래의 의회 토론은 이제 재무부 고유의 사이버 보안 부서가 암호화폐를 보호할 가치가 있는 시스템의 일부로 이미 인정했다는 배경 위에서 이루어질 것입니다.

여전히 남아있는 격차

이 이니셔티브는 만병통치약이 아닙니다. 세 가지 실질적인 격차가 남아 있습니다.

자격 요건의 불투명성. 재무부는 기준을 공개하지 않았습니다. 참가자 목록이나 최소한의 기준이 공개되기 전까지는 소규모 DeFi 프로토콜과 역외 플랫폼이 참여할 명확한 경로가 없습니다.

미국 한정. 암호화폐는 글로벌합니다. 미국 사용자에게 서비스를 제공하는 최대 규모의 CEX들이 항상 미국에 본사를 두고 있는 것은 아닙니다. 영국 NCSC, 싱가포르 MAS-CSA 채널, 유럽 ENISA와의 국제적 공조는 발표된 범위에 포함되지 않았습니다.

프로토콜 수준의 취약성 미해결. 위협 인텔리전스는 보안 운영 센터(SOC)가 공격자를 더 일찍 잡는 데 도움을 주지만, 검증되지 않은 메시지 형식을 신뢰하는 브리지를 패치해주지는 않습니다. Drift와 KelpDAO 사건 모두 이메일 피드로는 해결할 수 없는 약점(지속 가능 논스 서명, 크로스체인 메시지 검증)에 기인했습니다. OCCIP는 운영 방어의 하한선을 높여주지만, 프로토콜 설계의 논리를 바꾸지는 못합니다.

인프라 제공업체에 미치는 영향

프로토콜과 최종 사용자 사이에 위치한 기업 계층(RPC 제공업체, 지갑 플랫폼, 커스토디언, 인덱서, 오라클 네트워크)에게 OCCIP 프로그램은 구매 협상의 구도를 재편합니다. 기관 고객, 특히 차세대 규제 스테이블코인 발행사와 토큰화 RWA 관리자들은 인프라 벤더에게 OCCIP 수준의 정보 공유에 참여하는지 묻기 시작할 것입니다. 이 질문은 조달의 관문이 될 것입니다.

더 넓은 신호는 다음과 같습니다. 사이버 보안은 개별 프로토콜의 문제에서 부문 전체의 인프라 문제로 이동하고 있습니다. 2026년의 해킹 파도에서 살아남는 벤더는 위협 인텔리전스 수집, 침해 지표(IOC) 공유, 연방 표준에 맞춘 사고 대응을 선택 사항이 아닌 필수 서비스로 취급하는 업체들일 것입니다.

BlockEden.xyz는 Sui, Aptos, Ethereum 및 기타 체인의 빌더를 위해 엔터프라이즈급 RPC 및 인덱서 인프라를 운영합니다. OCCIP 중심의 위협 환경에서 운영되는 팀은 API 마켓플레이스에서 기관용 시대를 위해 구축된 인프라를 살펴볼 수 있습니다.

2026년 요약 및 분석

Drift 및 KelpDAO 보안 침해 사고는 기폭제로 기억되겠지만, OCCIP의 대응이야말로 향후 10년을 조용히 재편할 핵심 요소가 될 수 있습니다. 연방 사이버 보호망을 디지털 자산 기업으로 확대함으로써, 재무부는 두 가지를 동시에 달성했습니다. 하나는 DeFi에 대한 북한 방식의 국가 주도 공격이 국가 안보 문제임을 인정한 것이고, 다른 하나는 암호화폐 기업을 더 이상 금융 시스템의 방어 구역 밖의 존재로 취급할 수 없음을 시인한 것입니다.

이는 그 중요성에 비해 헤드라인을 크게 장식하지는 않는 성격의 규제 변화입니다. 하지만 이는 모든 기관 투자자, 규제 기관, 그리고 거래 상대방이 암호화폐 운영 리스크를 고려하는 방식을 변화시킬 것입니다. CLARITY 법안, GENIUS 법안 스테이블코인 규칙 제정, 그리고 OCC의 은행 암호화폐 수탁 가이드라인이 2027년에 일관된 규제 아키텍처로 정착될 때 즈음, 2026년 4월에 단행된 OCCIP의 조용한 확장이 그 모든 것의 근간이었음이 증명될 것입니다.

감시탑의 시야가 더욱 넓어졌습니다.

출처

Share on Twitter