"Crypto" 태그로 연결된 53 개 게시물 개의 게시물이 있습니다.

어머니께 가스비에 대해 설명해야 했던 때를 기억하시나요? 그 시대가 저물고 있습니다. 이더리움과 그 레이어 2 네트워크 전반에 걸쳐 2억 개 이상의 스마트 계정이 배포되었으며, 2025년 5월 이더리움의 펙트라 (Pectra) 업그레이드 이후에는 일반적인 메타마스크 (MetaMask) 지갑도 일시적으로 스마트 컨트랙트가 될 수 있게 되었습니다. 수십억 달러 규모의 암호화폐 분실을 초래했던 12단어의 불안 생성기인 '시드 구문'은 마침내 선택 사항이 되어가고 있습니다.

수치가 이를 증명합니다. 2024년에만 4,000만 개의 스마트 계정이 배포되었는데, 이는 2023년 대비 10배 증가한 수치입니다. 1억 건 이상의 UserOperations가 처리되었습니다. 또한 펙트라 출시 일주일 만에 메인넷에서 11,000건의 EIP-7702 권한 부여가 기록되었으며, OKX와 WhiteBIT 같은 거래소들이 도입을 주도하고 있습니다. 우리는 블록체인 역사상 가장 중요한 UX 혁신을 목격하고 있습니다. 이는 마침내 일반인들도 암호화폐를 사용할 수 있게 만드는 변화가 될 것입니다.

"블록체인 전문가" 요건의 종말​

기존의 이더리움 지갑 (외부 소유 계정 또는 EOA라 불림)은 사용자가 가스비, 논스 (nonce), 트랜잭션 서명, 그리고 시드 구문을 안전하게 보관해야 하는 막중한 책임을 이해해야 했습니다. 그 12단어를 잃어버리면 자산은 영원히 사라집니다. 피싱을 당하면 몇 초 만에 자산이 증발합니다.

계정 추상화는 이 모델을 완전히 뒤집습니다. 사용자가 블록체인 전문가가 될 것을 요구하는 대신, 스마트 계정이 기술적 복잡성을 자동으로 처리하여 기존의 웹 애플리케이션이나 모바일 뱅킹 앱과 유사한 경험을 제공합니다.

이러한 변화는 두 가지 상호 보완적인 표준을 통해 이루어집니다:

ERC-4337: 2023년 3월 이더리움 메인넷에 출시된 이 표준은 이더리움의 핵심 프로토콜을 변경하지 않고 스마트 컨트랙트 지갑을 도입합니다. 사용자는 트랜잭션 대신 "UserOperations"를 생성하며, "번들러 (bundlers)"라고 불리는 특수 노드들이 이를 처리하여 온체인에 제출합니다. 핵심적인 마법은 무엇일까요? "페이마스터 (paymasters)"를 통해 다른 사람이 가스비를 대신 내줄 수 있고, 여러 작업을 하나의 트랜잭션으로 묶을 수 있으며, 시드 구문 대신 신뢰할 수 있는 연락처를 통해 계정을 복구할 수 있다는 점입니다.

EIP-7702: 2025년 5월 7일 이더리움의 펙트라 업그레이드와 함께 활성화된 이 프로토콜 레벨의 변경을 통해 기존 EOA가 일시적으로 스마트 컨트랙트 코드를 실행할 수 있게 되었습니다. 새로운 지갑이 필요 없습니다. 현재 사용하는 메타마스크, 레저 (Ledger), 트러스트 월렛 (Trust Wallet)으로 갑자기 트랜잭션을 묶고, 가스비 대납을 이용하며, 패스키나 생체 인식을 통해 인증할 수 있게 됩니다.

이러한 표준들은 시드 구문이 유일한 옵션이 아닌 백업 옵션이 되는 미래를 함께 만들어가고 있습니다.

1억 건 이상의 작업을 지원하는 인프라 스택​

원활한 스마트 월렛 경험의 이면에는 대부분의 사용자가 보지 못하는 정교한 인프라 계층이 존재합니다:

번들러 (Bundlers): 이 특수 노드들은 별도의 멤풀 (mempool)에서 UserOperations를 수집하고, 가스 비용을 미리 지불한 후 나중에 상환받습니다. Alchemy, Pimlico, Stackup, Biconomy 등이 계정 추상화를 작동하게 만드는 보이지 않는 중추 역할을 하는 주요 제공업체입니다.

페이마스터 (Paymasters): 사용자를 대신하여 가스비를 후원하는 스마트 컨트랙트입니다. 2023년 3분기 기준, UserOperations의 99.2%가 페이마스터를 사용하여 가스비가 지불되었습니다. 2023년 12월에는 전체 페이마스터 거래량이 100만 달러를 돌파했으며, Pimlico가 28%, Stackup 26%, Alchemy 24%, Biconomy가 8%를 처리했습니다.

엔트리포인트 (EntryPoint) 컨트랙트: UserOperations를 검증하고 실행하며 사용자, 번들러, 페이마스터 간의 경제적 정산을 처리하는 온체인 코디네이터입니다.

이 인프라는 빠르게 성숙해졌습니다. 2023년에 실험적인 도구로 시작된 것이 이제는 매달 수백만 건의 작업을 처리하는 프로덕션 수준의 인프라가 되었습니다. 그 결과, 개발자들은 이제 사용자에게 브라우저 확장 프로그램을 설치하거나, 프라이빗 키를 관리하거나, 가스 메커니즘을 이해하도록 요구하지 않고도 "Web2와 같은" 경험을 구축할 수 있게 되었습니다.

스마트 계정이 실제로 사용되고 있는 분야​

이러한 도입은 이론에 그치지 않습니다. 특정 체인과 사용 사례들이 계정 추상화의 선두주자로 떠오르고 있습니다:

Base: 코인베이스 (Coinbase)의 레이어 2는 다음 10억 명의 사용자를 온보딩하려는 코인베이스의 사명에 힘입어 계정 추상화 지갑의 최대 배포처가 되었습니다. 이 체인의 코인베이스 월간 활성 사용자 930만 명과의 직접적인 통합은 간소화된 지갑 경험을 위한 자연스러운 테스트베드가 되었습니다.

Polygon: 2023년 4분기 기준, 폴리곤 (Polygon)은 월간 활성 스마트 계정의 92%를 점유했습니다. 이는 가스비가 없고 여러 트랜잭션을 묶는 기능으로부터 가장 큰 혜택을 받는 게임 및 소셜 애플리케이션에 의해 주도된 압도적인 시장 점유율입니다.

게이밍 (Gaming): 블록체인 게임은 아마도 가장 매력적인 사용 사례일 것입니다. 지갑 팝업과 가스 승인을 위해 게임 플레이를 중단하는 대신, 스마트 계정은 세션 키 (session keys)를 활성화하여 게임이 사용자 개입 없이 미리 정의된 한도 내에서 트랜잭션을 실행할 수 있도록 합니다.

소셜 네트워크 (Social Networks): Lens나 Farcaster와 같은 탈중앙화 소셜 플랫폼은 암호화폐 학습 곡선 없이 사용자를 온보딩하기 위해 계정 추상화를 사용합니다. 이메일로 가입하면 스마트 계정이 나머지를 처리합니다.

DeFi: 복잡한 다단계 트랜잭션 (교환 → 스테이킹 → 볼트 예치)을 단 한 번의 클릭으로 수행할 수 있습니다. 페이마스터를 통해 프로토콜은 사용자의 트랜잭션을 보조하여 초보 DeFi 사용자의 진입 장벽을 낮출 수 있습니다.

패턴은 명확합니다. 이전에는 "지갑 설치" 단계에서 사용자를 잃었던 애플리케이션들이 이제는 Web2 수준의 전환율을 달성하고 있습니다.

EIP-7702 혁명: 업그레이드되는 당신의 지갑​

ERC-4337이 새로운 스마트 컨트랙트 지갑을 배포해야 하는 것과 달리, EIP-7702는 다른 방식을 취합니다. 바로 기존 지갑을 그 자리에서 업그레이드하는 것입니다.

그 메커니즘은 매우 정교합니다. EIP-7702는 주소 소유자가 자신의 주소를 선택한 스마트 컨트랙트와 일시적으로 유사하게 설정하도록 승인하는 새로운 트랜잭션 유형을 도입합니다. 해당 트랜잭션이 진행되는 동안, 귀하의 EOA(외부 소유 계정)는 스마트 컨트랙트 기능을 갖게 됩니다. 실행이 끝나면 다시 일반 상태로 돌아옵니다.

이것이 중요한 이유는 다음과 같습니다:

마이그레이션 불필요: 기존 사용자는 자금을 이동하거나 새 컨트랙트를 배포할 필요가 없습니다. 현재 주소에서 즉시 스마트 계정 기능을 사용할 수 있습니다.

지갑 호환성: MetaMask, Ledger, Trust Wallet은 이미 EIP-7702 지원을 시작했습니다. Ledger가 발표한 바와 같이, 이제 Ledger Flex, Ledger Stax, Ledger Nano Gen5, Ledger Nano X, Ledger Nano S Plus 사용자들도 이 기능을 사용할 수 있습니다.

프로토콜 수준의 통합: ERC-4337의 외부 인프라와 달리 EIP-7702는 이더리움의 핵심 프로토콜에 직접 내장되어 있어 채택이 더 쉽고 안정적입니다.

즉각적인 결과가 이를 증명합니다. 펙트라(Pectra) 활성화 후 일주일 만에 메인넷에서 11,000건 이상의 EIP-7702 승인이 발생했습니다. WhiteBIT와 OKX가 채택을 주도하며, 거래소들이 사용자에게 일괄 처리 및 가스비 후원 트랜잭션을 제공하는 것에서 분명한 가치를 느끼고 있음을 보여주었습니다.

아무도 말하지 않는 보안상의 절충안​

계정 추상화에 위험이 없는 것은 아닙니다. 더 나은 UX를 가능하게 하는 동일한 유연성이 새로운 공격 벡터를 생성하기도 합니다.

피싱 우려: 보안 연구원들에 따르면, 초기 EIP-7702 권한 위임의 65-70%가 피싱 또는 스캠 활동과 연관되어 있습니다. 악의적인 행위자들은 사용자를 속여 자신의 지갑을 공격자가 제어하는 컨트랙트에 위임하도록 승인하게 만듭니다.

스마트 컨트랙트 리스크: 스마트 계정은 그 코드만큼만 안전합니다. 지갑 구현체, 페이마스터(Paymaster) 또는 번들러(Bundler)의 버그는 자금 손실로 이어질 수 있습니다. AA 스택의 복잡성은 더 많은 잠재적 실패 지점을 만듭니다.

인프라의 중앙화: 소수의 번들러 운영자가 대부분의 UserOperations를 처리합니다. 이들이 중단되거나 트랜잭션을 검열하면 계정 추상화 경험이 무너집니다. 블록체인을 가치 있게 만드는 탈중앙화가 이러한 집중된 인프라에 의해 부분적으로 훼손될 수 있습니다.

복구 신뢰 가정: 신뢰할 수 있는 연락처를 통해 계정을 복구하는 소셜 복구(Social Recovery)는 훌륭하게 들리지만, 그 연락처들이 공모하거나 해킹당하거나 단순히 접근 권한을 잃을 수 있다는 점을 고려해야 합니다.

이러한 점들이 계정 추상화를 피해야 할 이유는 아니지만, 개발자와 사용자는 기술이 진화하고 있으며 베스트 프랙티스가 여전히 확립되는 중이라는 점을 이해해야 합니다.

52억 명의 디지털 지갑 사용자를 향한 길​

기회는 엄청납니다. Juniper Research는 전 세계 디지털 지갑 사용자가 2022년 34억 명에서 2026년에는 52억 명을 넘어설 것으로 예상하며, 이는 53% 이상의 성장입니다. 특히 크립토 지갑 시장은 2026년 148억 4천만 달러에서 2034년 985억 7천만 달러로 급증할 것으로 전망됩니다.

크립토가 이러한 확장의 의미 있는 점유율을 차지하려면, 지갑 UX가 사용자들이 Apple Pay, Venmo 또는 전통적인 뱅킹 앱에서 기대하는 수준과 일치해야 합니다. 계정 추상화는 이를 가능하게 하는 기술입니다.

주목해야 할 주요 이정표:

2026년 1분기: Aave V4 메인넷 출시로 최대 규모의 DeFi 대출 프로토콜에 모듈형 스마트 계정 통합이 도입됩니다. AA 지원 인터페이스를 통해 체인 간 통합된 유동성에 접근할 수 있게 됩니다.

2026년 이후: 업계 전망에 따르면 스마트 지갑이 기본 표준이 되어, 이번 10년이 끝나기 전에 전통적인 EOA를 근본적으로 대체할 것입니다. 그 궤적은 분명합니다. 모든 주요 지갑 제공업체가 계정 추상화 지원에 투자하고 있습니다.

크로스체인 AA: 체인 간 계정 추상화 표준이 등장하고 있습니다. 이더리움, Base, Arbitrum, Polygon에서 동일하게 작동하며 자산과 권한이 네트워크 간에 이동 가능한 단일 스마트 계정을 상상해 보십시오.

빌더와 사용자에게 이것이 의미하는 바​

이더리움 및 레이어 2 네트워크에서 구축하는 개발자들에게 계정 추상화는 더 이상 선택적인 인프라가 아니라 새로운 애플리케이션의 필수 표준입니다. 도구는 성숙했고 사용자의 기대치는 설정되었으며, 가스비 없는 경험, 일괄 처리, 복구 가능한 지갑 경험을 제공하는 경쟁자가 그렇지 않은 경쟁자로부터 사용자를 확보하게 될 것입니다.

사용자에게 메시지는 더 간단합니다. 수년간 여러분을 좌절시켰던 크립토 UX 문제들이 해결되고 있습니다. 소셜 복구를 통해 시드 구문은 선택 사항이 됩니다. 페이마스터를 통해 가스비는 보이지 않게 됩니다. 일괄 처리를 통해 여러 단계의 트랜잭션이 한 번의 클릭으로 줄어듭니다.

여러분이 즐겨 사용하는 애플리케이션을 구동하는 블록체인은 보이지 않게 변하고 있습니다. 마땅히 그래야 하듯이 말이죠. 웹 서핑을 할 때 TCP/IP를 생각하지 않는 것처럼, 곧 크립토 애플리케이션을 사용할 때 가스비, 논스(nonce) 또는 시드 구문에 대해 생각하지 않게 될 것입니다.

계정 추상화는 단순한 기술적 업그레이드가 아닙니다. 이는 크립토의 현재 사용자 6억 명과 기술이 실제로 자신들에게 유용하게 작동하기를 기다리는 수십억 명 사이를 잇는 다리입니다.

---

계정 추상화를 활용하는 애플리케이션을 구축하려면 번들러, 페이마스터 및 노드 액세스를 위한 신뢰할 수 있는 인프라가 필요합니다. BlockEden.xyz는 이더리움, Base, Arbitrum 및 기타 주요 네트워크를 위한 엔터프라이즈급 RPC 엔드포인트를 제공합니다. 스마트 지갑 인프라를 구동하기 위해 저희의 API 마켓플레이스를 살펴보세요.

블록체인 오라클 시장의 총 예치 자산(TVS, Total Value Secured)이 방금 1,000억 달러를 돌파했습니다. 그리고 주도권을 잡기 위한 전쟁은 아직 끝나지 않았습니다. 체인링크(Chainlink)가 시장 점유율의 약 70%를 차지하고 있는 가운데, 차세대 도전자들이 블록체인이 현실 세계와 연결되는 방식을 재정의하며 게임의 규칙을 다시 쓰고 있습니다. 밀리초 미만의 지연 시간, 모듈형 아키텍처, 기관급 데이터 피드를 앞세운 2026년 오라클 전쟁은 DeFi, RWA(실물 자산) 토큰화, 그리고 차세대 온체인 금융을 뒷받침하는 핵심 인프라 계층을 누가 통제할 것인지를 결정짓게 될 것입니다.

그 어느 때보다 높아진 이해관계​

오라클은 블록체인 인프라의 숨은 영웅입니다. 오라클이 없다면 스마트 컨트랙트는 자산 가격, 날씨 데이터, 스포츠 경기 결과 또는 그 어떤 외부 정보도 알지 못하는 고립된 컴퓨터에 불과합니다. 하지만 이 중요한 미들웨어 계층은 수십억 달러와 탈중앙화 금융의 미래가 걸린 전쟁터가 되었습니다.

가격 오라클 조작 공격은 2023년 1월부터 2025년 5월 사이에 1억 6,580만 달러 이상의 손실을 입혔으며, 이는 모든 주요 DeFi 익스플로잇의 17.3%를 차지합니다. 2025년 2월 ZKsync에서 발생한 Venus Protocol 공격은 취약한 오라클 통합 하나가 단 몇 분 만에 717,000달러를 빼낼 수 있음을 보여주었습니다. 오라클이 실패하면 프로토콜은 무너집니다.

이러한 실존적 위험은 왜 오라클 시장이 크립토 분야에서 가장 정교한 플레이어들을 끌어들이고 있으며, 경쟁이 왜 격화되고 있는지를 설명해 줍니다.

체인링크: 현직의 제국​

체인링크의 지배력은 어떤 기준으로 보더라도 압도적입니다. 이 네트워크는 1,000억 달러 이상의 총 예치 자산을 확보했으며, 180억 개 이상의 검증된 메시지를 처리했고, 약 26조 달러의 누적 온체인 거래량을 가능하게 했습니다. 이더리움에서만 체인링크는 모든 오라클 의존 가치의 83%를 확보하고 있으며, Base 네트워크에서는 100%에 육박합니다.

이 수치들은 경쟁사들이 따라잡기 힘든 기관 채택의 역사를 보여줍니다. JPMorgan, UBS, SWIFT는 토큰화된 자산 결제를 위해 체인링크 인프라를 통합했습니다. 코인베이스는 래핑된 자산(wrapped asset) 전송을 위해 체인링크를 선택했습니다. 2025년 초 TRON이 자체 WinkLink 오라클을 중단하기로 결정했을 때 체인링크로 이전한 것은, 오라클 인프라 구축이 보기보다 훨씬 어렵다는 것을 암묵적으로 인정한 것입니다.

체인링크의 전략은 단순한 데이터 제공에서 회사가 "풀스택 기관 플랫폼"이라 부르는 단계로 진화했습니다. 2025년 MegaETH와의 네이티브 통합 출시는 리얼타임 오라클 서비스 시장 진출을 의미하며, 피스(Pyth)의 속도 우위에 직접 도전장을 내밀었습니다. 크로스 체인 상호운용성 프로토콜(CCIP) 및 예치금 증명(Proof of Reserve) 시스템과 결합하여, 체인링크는 기관용 DeFi의 기본 인프라로 자리매김하고 있습니다.

하지만 지배력은 안일함을 낳고, 경쟁자들은 그 틈새를 공략하고 있습니다.

피스 네트워크: 스피드 데몬​

체인링크가 탈중앙화와 신뢰성을 통해 첫 번째 오라클 전쟁에서 승리했다면, 피스(Pyth)는 다음 전쟁이 속도에서 결정될 것이라고 베팅하고 있습니다. 2025년 1분기에 출시된 Lazer 제품은 기존 오라클 솔루션보다 400배 빠른 1밀리초의 가격 업데이트 속도를 제공합니다.

이것은 사소한 개선이 아니라 패러다임의 전환입니다.

피스의 아키텍처는 체인링크의 푸시(push) 모델과 근본적으로 다릅니다. 오라클이 온체인으로 데이터를 지속적으로 전송(비싸고 느림)하는 대신, 피스는 애플리케이션이 필요할 때만 데이터를 가져오는 풀(pull) 모델을 사용합니다. Jump Trading, Wintermute 및 주요 거래소를 포함한 퍼스트 파티 데이터 게시자가 중개인 없이 직접 가격을 제공합니다.

그 결과 50개 이상의 블록체인에서 1,400개 이상의 자산을 지원하며, 표준 서비스에서도 400밀리초 미만의 업데이트 속도를 제공합니다. 최근 85개의 홍콩 상장 주식(시가총액 3.7조 달러)과 BlackRock, Vanguard, State Street의 100개 이상의 ETF(자산 규모 8조 달러) 등 전통 금융 데이터로 확장한 피스의 행보는 크립토를 훨씬 넘어서는 야망을 보여줍니다.

2025년 코인베이스 인터내셔널의 피스 레이저(Pyth Lazer) 통합은 속도가 중요할 때 중앙화된 거래소조차 탈중앙화된 오라클 인프라가 필요하다는 논리를 입증했습니다. 피스의 TVS는 2025년 1분기에 71.5억 달러에 도달했으며, 시장 점유율은 10.7%에서 12.8%로 상승했습니다.

하지만 피스의 속도 우위에 기회비용이 따릅니다. 네트워크 스스로도 인정하듯이, Lazer는 성능을 위해 "탈중앙화의 일부 요소"를 희생합니다. 신뢰 최소화가 지연 시간보다 중요한 프로토콜의 경우, 이러한 타협은 받아들이기 어려울 수 있습니다.

레드스톤: 모듈형 반란군​

체인링크와 피스가 시장 점유율을 놓고 다투는 동안, 레드스톤(RedStone)은 업계에서 가장 빠르게 성장하는 오라클로 조용히 부상했습니다. 이 프로젝트는 2023년 초 첫 DeFi 통합 이후 2025년 9월까지 총 예치 자산(TVS) 90억 달러를 기록하며 전년 대비 1,400% 성장했습니다.

레드스톤의 비밀 병기는 모듈성입니다. 각 새로운 체인에 전체 파이프라인을 복제해야 하는 체인링크의 모놀리식 아키텍처와 달리, 레드스톤의 디자인은 데이터 수집과 전달을 분리합니다. 이를 통해 기존 솔루션이 34개월 걸리는 새 체인 배포를 12주 안에 완료할 수 있습니다.

수치는 놀랍습니다. 레드스톤은 현재 그 어떤 경쟁사보다 많은 110개 이상의 체인을 지원합니다. 여기에는 솔라나(Solana) 및 수이(Sui)와 같은 비 EVM 네트워크뿐만 아니라, 주요 금융 기관들이 지원하는 기관용 블록체인인 Canton Network도 포함되어 있으며, 레드스톤은 이곳의 첫 번째 주요 오라클 제공업체가 되었습니다.

2025년 레드스톤의 성과는 기관 영토에 대한 전략적 공격처럼 보입니다. Securitize와의 파트너십을 통해 BlackRock의 BUIDL 및 Apollo의 ACRED 토큰화 펀드에 레드스톤 인프라를 도입했습니다. Credora 인수는 DeFi 신용 평가와 오라클 인프라를 통합했습니다. Kalshi 통합은 규제된 미국 예측 시장 데이터를 모든 지원 체인에 제공했습니다.

레드스톤 볼트(RedStone Bolt)는 속도에 민감한 애플리케이션을 위해 피스 레이저와 직접 경쟁하는 초저지연 오라클입니다. 하지만 레드스톤의 모듈형 접근 방식은 푸시 모델과 풀 모델을 모두 제공할 수 있어, 아키텍처적 타협을 강요하지 않고 프로토콜의 요구 사항에 맞출 수 있습니다.

2026년을 위해 레드스톤은 1,000개 체인으로 확장하고 동적 데이터 피드 및 변동성 예측을 위한 AI 기반 ML 모델 통합 계획을 발표했습니다. 이는 레드스톤을 옴니체인 미래를 위한 오라클로 자리매김하게 하는 공격적인 로드맵입니다.

API3: 퍼스트 파티의 순수주의자​

API3 는 오라클 문제에 대해 철학적으로 다른 접근 방식을 취합니다. 자체 노드 네트워크를 운영하거나 제3자 데이터를 집계하는 대신, API3 는 기존 API 제공업체가 직접 오라클 노드를 운영하고 데이터를 온체인에 직접 전달할 수 있도록 합니다.

이 "퍼스트 파티" 모델은 중개자를 완전히 제거합니다. 기상 서비스가 API3 를 통해 데이터를 제공할 때, 집계 계층이나 제3자 노드 운영자가 없으므로 전달 체계에서의 조작 가능성이 사라집니다. API 제공업체는 데이터의 정확성에 대해 직접적인 책임을 집집니다.

규제 준수와 명확한 데이터 출처가 필요한 기업용 애플리케이션의 경우, API3 의 접근 방식은 매우 매력적입니다. 감사 요구 사항을 준수해야 하는 금융 기관은 데이터의 출처를 정확히 알아야 하며, 이는 기존 오라클 네트워크가 항상 보장할 수 없는 부분입니다.

API3 의 관리형 dAPIs (탈중앙화 API)는 Chainlink 와 유사한 푸시(push) 모델을 사용하므로 기존 프로토콜의 마이그레이션이 수월합니다. 이 프로젝트는 업데이트 빈도보다 데이터의 진위가 더 중요한 IoT 통합 및 기업용 애플리케이션 분야에서 독자적인 영역을 구축했습니다.

보안의 필수성​

오라클 보안은 이론적인 문제가 아니라 생존의 문제입니다. 2025년 2월의 wUSDM 익스플로잇은 ERC-4626 금고 표준이 취약한 오라클 통합과 결합될 때, 숙련된 공격자들이 손쉽게 악용할 수 있는 공격 벡터를 어떻게 생성하는지 보여주었습니다.

공격 패턴은 이제 잘 문서화되어 있습니다. 플래시 론을 사용하여 일시적으로 유동성 풀 가격을 조작하고, 적절한 안전장치 없이 해당 풀의 가격을 읽는 오라클을 악용하여 트랜잭션이 완료되기 전에 가치를 추출합니다. 가격 조작을 통해 8,800만 달러의 손실을 입은 BonqDAO 해킹 사건은 여전히 기록상 단일 오라클 익스플로잇 중 최대 규모로 남아 있습니다.

완화 전략에는 심층 방어가 필요합니다. 여러 독립적인 데이터 소스를 집계하고, 변동성을 완화하기 위해 시간 가중 평균 가격 (TWAP)을 구현하며, 비정상적인 가격 변동에 대한 서킷 브레이커를 설정하고, 조작 시도를 지속적으로 모니터링해야 합니다. 오라클 통합을 보안상 중요한 설계 결정이 아닌 단순한 체크리스트로 취급하는 프로토콜은 사용자 자금을 담보로 러시안 룰렛을 하는 것과 같습니다.

선두 오라클들은 점점 더 정교해지는 보안 조치로 대응해 왔습니다. Chainlink 의 탈중앙화 집계, Pyth 의 퍼스트 파티 게시자 책임제, RedStone 의 암호화 증명은 모두 신뢰 문제의 서로 다른 측면을 해결합니다. 하지만 완벽한 솔루션은 없으며, 오라클 설계자와 공격자 사이의 쫓고 쫓기는 게임은 계속되고 있습니다.

기관의 영역​

오라클 전쟁의 진정한 전리품은 DeFi 시장 점유율이 아니라 기관의 채택입니다. RWA 토큰화 시장 규모가 627억 달러에 육박함에 따라 (2026년 기준 144% 성장), 오라클은 전통 금융의 블록체인 마이그레이션을 위한 핵심 인프라가 되었습니다.

토큰화된 자산에는 가격 정보, 이자율, 기업 활동, 예치금 증명 등 신뢰할 수 있는 오프체인 데이터가 필요합니다. 이 데이터는 정확성, 감사 가능성 및 규제 준수에 대한 기관 표준을 충족해야 합니다. 기관의 신뢰를 얻는 오라클이 향후 10년의 금융 인프라를 장악하게 될 것입니다.

JPMorgan, UBS, SWIFT 와 협력하며 선점 우위를 점한 Chainlink 는 강력한 네트워크 효과를 창출하고 있습니다. 하지만 RedStone 의 Securitize 파트너십과 Canton Network 배포는 도전자들에게도 기관의 문이 열려 있음을 보여줍니다. 전통적인 주식 및 ETF 데이터로 확장 중인 Pyth 는 크립토와 TradFi 시장의 융합을 준비하고 있습니다.

유럽 연합의 MiCA 규제와 미국 SEC 의 "프로젝트 크립토"는 규제 명확성을 제공함으로써 이러한 기관 마이그레이션을 가속화하고 있습니다. 명확한 데이터 출처, 감사 추적 및 기관급 신뢰성 등 규제 준수 준비성을 증명할 수 있는 오라클은 전통 금융이 온체인으로 이동함에 따라 불균형적으로 큰 시장 점유율을 차지하게 될 것입니다.

다음 단계​

2026년의 오라클 시장은 다음과 같은 명확한 기준으로 세분화되고 있습니다:

Chainlink 는 검증된 신뢰성과 기관의 공신력을 우선시하는 프로토콜들에게 여전히 기본 선택지로 남아 있습니다. 데이터 피드, 크로스 체인 메시징, 예치금 증명을 아우르는 풀스택 접근 방식은 시장 점유율을 보호하는 전환 비용을 창출합니다.

Pyth 는 밀리초 단위가 중요한 무기한 선물, 고빈도 매매, 파생상품 프로토콜과 같이 속도에 민감한 애플리케이션을 공략합니다. 퍼스트 파티 게시자 모델과 전통 금융 데이터 확장은 CeFi와 DeFi 의 융합을 위한 유리한 고지를 점하게 합니다.

RedStone 은 110개 이상의 체인에서 다양한 프로토콜 요구 사항에 적응하는 모듈형 아키텍처를 제공하여 옴니체인 미래를 지향합니다. 이들의 기관 파트너십은 단순한 DeFi 생태계를 넘어선 신뢰성을 시사합니다.

API3 는 규제 준수와 직접적인 데이터 출처가 필요한 기업용 애플리케이션을 대상으로 하며, 규모는 작지만 방어 가능한 니치 시장을 공략합니다.

단일 오라클이 모든 것을 독식하지는 않을 것입니다. 시장은 각기 다른 사용 사례에 최적화된 여러 전문 공급업체를 수용할 수 있을 만큼 충분히 큽니다. 하지만 이러한 경쟁은 혁신을 촉진하고 비용을 절감하며, 궁극적으로 블록체인 인프라를 더욱 견고하게 만들 것입니다.

개발자들에게 메시지는 명확합니다. 오라클 선택은 장기적인 영향을 미치는 최우선적인 아키텍처 결정입니다. 단순히 시장 점유율에 의존하기보다는 지연 시간, 탈중앙화, 지원 체인 범위, 기관 규제 준수 등 구체적인 요구 사항에 따라 선택하십시오.

투자자들에게 오라클 토큰은 블록체인 채택에 대한 레버리지 베팅을 의미합니다. 더 많은 가치가 온체인으로 유입됨에 따라 오라클 인프라는 모든 트랜잭션의 일부를 확보하게 됩니다. 승자는 수년간 성장을 거듭할 것이고, 패자는 무관심 속으로 사라질 것입니다.

2026년의 오라클 전쟁은 이제 시작일 뿐입니다. 오늘날 구축되고 있는 인프라는 미래의 금융 시스템을 뒷받침할 것입니다.

---

신뢰할 수 있는 오라클 인프라가 필요한 DeFi 애플리케이션을 구축 중이신가요? BlockEden.xyz 는 여러 네트워크에서 고가용성을 보장하는 엔터프라이즈급 블록체인 RPC 서비스를 제공합니다. API 마켓플레이스 둘러보기를 통해 귀하의 애플리케이션을 검증된 인프라에 연결해 보세요.

DeFi 포트폴리오의 모든 달러가 가치를 유지하면서 동시에 수익을 창출하는 두 가지 역할을 수행할 수 있다면 어떨까요? 이것은 더 이상 가설이 아닙니다. 2026년, 수익 창출형 스테이블코인(yield-bearing stablecoins)의 공급량은 200억 달러 이상으로 두 배 증가하여 탈중앙화 금융의 담보 중추가 되었으며, 전통적인 은행들로 하여금 불편한 질문에 직면하게 만들고 있습니다. "sUSDe가 10% 이상의 APY를 제공하는데 왜 누군가가 0.01% 수익률의 예금 계좌에 돈을 남겨두겠는가?"

스테이블코인 시장은 연말까지 1조 달러를 향해 달려가고 있지만, 진정한 이야기는 단순한 성장이 아니라 근본적인 구조적 변화에 있습니다. USDT 및 USDC와 같은 정적인 무수익 스테이블코인은 토큰화된 국채, 델타 중립 전략 및 DeFi 대출을 통해 수익을 창출하는 프로그래밍 가능한 대안들에 밀려 입지를 잃고 있습니다. 이러한 변화는 담보의 규칙을 다시 쓰고, 규제 프레임워크에 도전하며, 전례 없는 기회와 시스템적 리스크를 동시에 창출하고 있습니다.

혁명 뒤에 숨겨진 수치들​

수익 창출형 스테이블코인은 2025년 초 95억 달러에서 현재 200억 달러 이상으로 확대되었습니다. Ethena의 sUSDe, BlackRock의 BUIDL, Sky의 sUSDS와 같은 상품들이 대부분의 유입액을 차지했으며, 현재 50개 이상의 추가 자산이 이 광범위한 카테고리에 포함되어 있습니다.

이러한 궤적은 이것이 시작에 불과함을 시사합니다. Botanix Labs의 공동 창립자이자 COO인 Alisia Painter는 "2026년에는 모든 활성 스테이블코인의 20% 이상이 내장된 수익 또는 프로그래밍 기능을 제공할 것"이라고 말했습니다. 가장 보수적인 전망도 연말까지 전체 스테이블코인 시장을 1조 달러 근처로 예상하며, 낙관적인 시나리오에서는 2028년까지 2조 달러에 도달할 것으로 보고 있습니다.

무엇이 이러한 이동을 주도하고 있을까요? 단순한 경제 논리입니다. 전통적인 스테이블코인은 안정성을 제공하지만 수익은 전혀 없습니다. 그것은 유휴 상태로 놓여 있는 디지털 현금입니다. 반면 수익 창출형 대안은 토큰화된 미국 국채, DeFi 대출 프로토콜 또는 델타 중립 거래 전략과 같은 기초 자산에서 발생하는 수익을 보유자에게 직접 분배합니다. 그 결과, 단순한 디지털 현금이 아니라 이자가 발생하는 계좌처럼 작동하는 안정적인 자산이 탄생합니다.

인프라 스택: 수익이 DeFi를 통해 흐르는 방식​

수익 창출형 스테이블코인 생태계를 이해하려면 핵심 구성 요소와 이들이 어떻게 상호 연결되는지 살펴봐야 합니다.

Ethena의 USDe: 델타 중립의 선구자​

Ethena는 "크립토 네이티브 합성 달러(crypto-native synthetic dollar)" 모델을 대중화했습니다. 사용자는 암호화폐 담보를 바탕으로 USDe를 발행하고, 프로토콜은 현물 보유와 숏 퍼페추얼(short perpetual) 포지션을 결합하여 노출을 헤지합니다. 이 델타 중립 전략은 방향성 시장 리스크 없이 펀딩비(funding rates)를 통해 수익을 창출합니다. 스테이킹된 래퍼인 sUSDe는 보유자에게 수익을 전달합니다.

정점에서 USDe는 TVL 148억 달러에 도달했으나, 펀딩비가 압축되면서 2025년 12월까지 76억 달러로 축소되었습니다. 이러한 변동성은 합성 수익 전략의 기회와 리스크를 동시에 보여줍니다. 수익은 급격히 변할 수 있는 시장 상황에 달려 있기 때문입니다.

BlackRock BUIDL: 전통 금융(TradFi)과 온체인 레일의 만남​

BlackRock의 BUIDL 펀드는 토큰화된 수익에 대한 기관의 진입점을 상징합니다. 자산 규모가 29억 달러로 정점을 찍고 토큰화된 국채 시장의 40% 이상을 확보한 BUIDL은 전통 금융 거물들이 변화의 흐름을 정확히 읽고 있음을 증명합니다.

BUIDL의 전략적 중요성은 직접적인 AUM(운용 자산) 그 이상입니다. 이 펀드는 이제 여러 DeFi 제품의 핵심 예비 자산 역할을 합니다. Ethena의 USDtb와 Ondo의 OUSG는 모두 BUIDL을 중추 담보로 활용합니다. 이는 암호화폐 지갑으로 직접 전달되는 일일 이자 지급과 함께, 무허가형 온체인 레일을 통해 접근하는 기관급 국채 노출이라는 흥미로운 하이브리드 구조를 만들어냅니다.

이 펀드는 Wormhole의 크로스체인 인프라를 통해 Ethereum에서 Solana, Polygon, Optimism, Arbitrum, Avalanche, Aptos로 확장하며 유동성이 존재하는 모든 곳으로 뻗어 나가고 있습니다.

Ondo Finance: RWA 브릿지​

Ondo Finance는 18억 달러의 TVL을 보유한 선도적인 RWA(실물 자산) 토큰화 플랫폼으로 부상했습니다. BlackRock의 BUIDL이 뒷받침하는 OUSG 펀드와 OMMF 토큰화 머니마켓 펀드는 기관급 수익 상품의 온체인 버전을 나타냅니다.

결정적으로, Ondo의 Flux Finance 프로토콜은 사용자가 이러한 토큰화된 RWA를 DeFi 대출의 담보로 제공할 수 있게 하여 전통적인 수익과 온체인 자본 효율성 사이의 연결 고리를 완성합니다.

Aave V4: 통합 유동성 혁명​

인프라의 진화는 스테이블코인을 넘어 확장됩니다. 2026년 1분기로 예정된 Aave의 V4 메인넷 출시는 DeFi 유동성을 근본적으로 재편할 수 있는 허브 앤 스포크(hub-and-spoke) 아키텍처를 도입합니다.

V4에서 유동성은 더 이상 시장별로 분리되지 않습니다. 모든 자산은 네트워크당 하나의 통합된 유동성 허브(Liquidity Hub)에 저장됩니다. 사용자 대면 인터페이스인 스포크(Spokes)는 개별 리스크 매개변수를 유지하면서 이 공유 풀에서 자금을 끌어올 수 있습니다. 이는 스테이블코인에 최적화된 스포크와 고위험 밈 토큰 스포크가 공존하며, 리스크 프로필을 교차 오염시키지 않고도 더 깊은 공유 유동성의 혜택을 동시에 누릴 수 있음을 의미합니다.

기술적 변화도 마찬가지로 중요합니다. V4는 aToken의 리베이싱(rebasing) 메커니즘 대신 ERC-4626 스타일의 지분 회계 방식을 채택합니다. 이는 더 깔끔한 통합, 단순한 세무 처리, 그리고 하위 DeFi 인프라와의 더 나은 호환성을 가능하게 합니다.

아마도 가장 중요한 점은 V4가 담보 품질에 기반한 리스크 프리미엄을 도입한다는 것입니다. ETH와 같은 고품질 담보는 더 저렴한 차입 이자율을 적용받고, 위험한 자산은 프리미엄을 지불합니다. 이러한 인센티브 구조는 무허가형 접근성을 유지하면서도 프로토콜이 자연스럽게 더 안전한 담보 프로필을 지향하도록 유도합니다.

수익 창출형 스테이블코인과 결합하면 이는 강력한 새로운 결합성(composability) 옵션을 생성합니다. sUSDe를 Aave V4 스포크에 예치하여 스테이블코인 수익을 얻는 동시에 이를 레버리지 포지션의 담보로 사용하는 시나리오가 가능해집니다. 이를 통해 자본 효율성은 이론적 최댓값에 도달하게 됩니다.

기관의 쇄도​

리도 파이낸스(Lido Finance)의 진화는 수익 창출형 DeFi 상품에 대한 기관의 갈망을 잘 보여줍니다. 리도 경영진에 따르면, 이 프로토콜은 현재 275억 달러의 TVL을 기록하고 있으며, 이 중 약 25%가 기관 자본을 나타냅니다.

최근 발표된 GOOSE-3 계획은 6,000만 달러를 투입하여 리도를 단일 상품 스테이킹 인프라에서 다중 상품 DeFi 플랫폼으로 전환하는 것을 목표로 합니다. 새로운 기능으로는 과담보 볼트(over-collateralized vaults), 규제 준수형 기관용 상품, 그리고 stTIA 와 같은 자산 지원이 포함됩니다.

이러한 기관의 이동은 선순환을 창출합니다. 더 많은 기관 자본은 더 깊은 유동성을 의미하며, 이는 더 큰 포지션 규모를 가능하게 하고, 다시 더 많은 기관 자본을 끌어들입니다. 유동성 스테이킹(Liquid Staking) 부문 하나만으로도 2025년 말 기록적인 860억 달러의 TVL에 도달했으며, 이는 전통 금융이 더 이상 DeFi를 실험하는 단계가 아니라 대규모로 배치하고 있음을 보여줍니다.

전체 DeFi TVL은 2025년 말 약 1,500억 ~ 1,760억 달러에서 2026년 초까지 2,000억 달러를 초과할 것으로 예상됩니다. 성장의 엔진은 대출, 차입 및 스테이블코인 결제에 대한 기관의 참여입니다.

규제의 먹구름​

모두가 환호하는 것은 아닙니다. JP모건 체이스(JPMorgan Chase)의 4분기 실적 발표에서 CFO 제레미 바넘(Jeremy Barnum)은 수익 발생형 스테이블코인이 "전통적인 은행 시스템에 대한 위험하고 규제되지 않은 대안"이 될 수 있다고 경고했습니다.

그의 우려는 자본 요건, 소비자 보호 또는 규제적 안전장치 없이 이자를 지급하는 예금 유사 상품에 집중되어 있습니다. 전통 금융의 관점에서 볼 때, 수익 발생형 스테이블코인은 그림자 금융(shadow banking)과 매우 흡사해 보이며, 그림자 금융은 2008년 금융 위기를 초래한 바 있습니다.

미국 상원 은행 위원회의 개정된 디지털 자산 시장 명확성 법안(Digital Asset Market Clarity Act)은 이러한 우려에 직접적으로 대응합니다. 업데이트된 법안은 디지털 자산 서비스 제공업체가 단순히 스테이블코인을 보유하고 있다는 이유로 직접적인 이자를 지급하는 것을 금지하며, 이는 이러한 토큰이 은행과 경쟁하는 규제되지 않은 예금 계좌 역할을 하는 것을 방지하려는 시도입니다.

한편, GENIUS 법과 MiCA는 스테이블코인 규제를 위한 최초의 조율된 글로벌 프레임워크를 구축합니다. 이의 구현에는 수익 발생형 상품에 대한 더 세밀한 보고가 필요합니다: 자산의 기간, 거래 상대방 노출도, 자산 분리 증명 등이 포함됩니다.

규제 환경은 위협과 기회를 동시에 창출합니다. 적절한 리스크 관리를 입증할 수 있는 규제 준수 수익 발생형 상품은 기관의 접근권을 얻을 수 있습니다. 비준수 대안은 실존적인 법적 도전에 직면하거나 역외 관할권으로 물러나야 할 수도 있습니다.

누구도 논의하고 싶어 하지 않는 리스크​

2026년의 수익 발생형 스테이블코인 환경은 규제 불확실성을 넘어서는 시스템적 리스크를 안고 있습니다.

결합성 폭포 (Composability Cascades)​

스트림(Stream) 프로토콜의 붕괴는 수익 발생형 스테이블코인이 서로 재귀적으로 내재될 때 어떤 일이 발생하는지 폭로했습니다. 스트림의 xUSD는 엘릭서(Elixir)의 deUSD에 대한 노출로 부분적으로 담보되었으며, deUSD 자체도 xUSD 담보를 보유하고 있었습니다. 9,300만 달러의 거래 손실 이후 xUSD가 디페깅(depeg)되자, 순환 담보 루프는 여러 프로토콜에 걸쳐 피해를 증폭시켰습니다.

이는 이론적인 우려가 아닙니다. 수익 발생형 스테이블코인이 다른 수익 발생형 상품의 기초 담보 역할을 하는 세상에서 시스템적 리스크가 어떻게 나타나는지 미리 보여주는 예시입니다.

금리 환경 의존성​

많은 수익 창출 전략은 우호적인 금리 환경에 의존합니다. 미국 금리의 지속적인 하락은 국채 담보 상품의 예비 수익을 압박하는 동시에 델타 중립 전략(delta-neutral strategies)의 펀딩비 수익을 감소시킬 것입니다. 발행인은 수익률보다는 효율성과 규모로 경쟁해야 하며, 이는 혁신적인 신규 진입자보다 기존의 확립된 플레이어에게 유리한 게임입니다.

디레버리징의 취약성​

2025년의 성장과 통합은 DeFi가 기관 자본을 끌어들일 수 있음을 증명했습니다. 2026년의 과제는 시스템적 디레버리징(deleveraging) 기간에도 그 자본을 유지할 수 있음을 증명하는 것입니다. 확장 단계는 암호화폐 강세장의 60 ~ 80%를 주도하지만, 수축 기간에는 근본적인 채택 지표와 관계없이 디레버리징이 강제됩니다.

다음 암호화폐 겨울이 찾아올 때, 수익 발생형 스테이블코인은 중요한 시험대에 오를 것입니다. 기관 자본이 빠져나가는 동안 페깅의 안정성과 적절한 수익률을 유지할 수 있는가? 그 답에 따라 이 혁명이 지속 가능한 혁신인지, 아니면 또 다른 암호화폐 사이클의 과잉인지가 결정될 것입니다.

빌더와 사용자를 위한 시사점​

DeFi 빌더들에게 수익 발생형 스테이블코인은 기회이자 책임입니다. 결합성 잠재력은 엄청납니다. 수익 발생형 담보를 지능적으로 레이어링하는 상품은 전통 금융에서는 불가능한 자본 효율성을 달성할 수 있습니다. 하지만 스트림의 붕괴는 결합성이 양날의 검임을 보여줍니다.

사용자들에게 계산법이 바뀌고 있습니다. 수익이 없는 스테이블코인을 보유하는 것은 점점 더 돈을 낭비하는 것처럼 보입니다. 하지만 수익률에는 상품마다 크게 다른 리스크 프로파일이 따릅니다. BUIDL 의 국채 담보 수익은 sUSDe 의 델타 중립 펀딩비 수익과는 다른 리스크를 수반합니다.

2026년의 승자는 이러한 미묘한 차이를 이해하는 사람들이 될 것입니다. 즉, 자신의 리스크 허용 범위를 수익원에 맞추고, 수익 발생형 상품 전반에 걸쳐 포트폴리오 다양성을 유지하며, 하룻밤 사이에 환경을 재편할 수 있는 규제 발전에 앞서 나가는 사람들입니다.

핵심 요약​

수익 창출형 스테이블코인은 실험적인 제품에서 핵심 DeFi 인프라로 진화했습니다 . 200억 $ 이상의 공급량을 기록하며 성장 중인 이들은 점차 기관화되는 DeFi 생태계의 기본 담보 계층이 되고 있습니다 .

이러한 변화는 실질적인 가치를 창출합니다 : 전통 금융에서는 불가능했던 자본 효율성 , 은행 예금을 훨씬 능가하는 수익 생성 , 그리고 완전히 새로운 금융 상품을 가능하게 하는 결합성 ( composability ) 입니다 .

하지만 규제 불확실성 , 결합성 연쇄 반응 ( composability cascades ) , 그리고 대규모 암호화폐 하락장에서 아직 스트레스 테스트를 거치지 않은 시스템적 취약성 등 실질적인 리스크도 수반합니다 .

예금 보험 , 자본 요건 , 규제 감독과 같은 전통 금융의 매뉴얼은 수 세기에 걸쳐 바로 이러한 리스크에 대응하며 발전해 왔습니다 . DeFi 의 과제는 수익 창출형 스테이블코인을 가능하게 한 근본적인 비허가형 혁신 ( permissionless innovation ) 을 희생하지 않으면서 그에 상응하는 안전장치를 구축하는 것입니다 .

이 혁신의 성공 여부는 DeFi 가 스스로 만들어내고 있는 시스템적 리스크를 관리할 수 있을 만큼 빠르게 성숙해질 수 있는지에 달려 있습니다 . 향후 12 개월이 그 답을 제시할 것입니다 .

---

• 이 기사는 정보 제공만을 목적으로 하며 금융 조언을 구성하지 않습니다 . 투자 결정을 내리기 전에 항상 스스로 연구를 수행하십시오 .*

지난 2주 동안 유럽 최대 은행 중 두 곳이 수백만 명의 개인 고객에게 비트코인 거래를 제공한다고 발표했습니다. 3,000억 달러의 자산을 보유한 벨기에 제2의 대출 기관인 KBC 그룹 (KBC Group)은 2026년 2월에 암호화폐 거래를 시작할 예정입니다. 6,600억 유로 이상을 관리하는 독일의 DZ 은행 (DZ Bank)은 지난 1월 MiCA 승인을 획득하여 협동조합 은행 네트워크를 통해 비트코인, 이더리움, 카르다노, 라이트코인 거래를 출시했습니다. 이들은 핀테크 스타트업이나 암호화폐 네이티브 거래소가 아닙니다. 한때 디지털 자산을 투기적 소음으로 치부했던 100년 역사의 기관들입니다.

공통된 핵심은 무엇일까요? 바로 MiCA입니다. 유럽 연합의 암호자산 시장 법안 (Markets in Crypto-Assets Regulation)은 규제 촉매제가 되어, 은행들이 지난 10년 동안 관망해 온 시장에 진입할 수 있는 법적 명확성을 마침내 제공했습니다. 현재 60개 이상의 유럽 은행이 어떤 형태로든 암호화폐 서비스를 제공하고 있으며, 50% 이상이 2026년까지 MiCA 파트너십을 계획하고 있는 상황에서, 이제 질문은 전통 금융이 암호화폐를 수용할 것인지가 아니라 얼마나 빨리 전환이 일어날 것인지로 바뀌었습니다.

2025년 크리스마스 이브, 암호화폐 업계의 대부분이 휴가를 즐기고 있을 때 공격자들은 트러스트 월렛 (Trust Wallet)의 크롬 확장 프로그램에 악성 업데이트를 푸시했습니다. 48시간 만에 2,520개의 지갑에서 850만 달러가 사라졌습니다. 수천 명의 사용자 시드 구문 (seed phrases)이 일상적인 텔레메트리 데이터로 위장하여 조용히 수집되었습니다. 하지만 이것은 단독 사건이 아니었습니다. 이는 몇 주 동안 암호화폐 개발 생태계를 통해 확산되고 있었던 공급망 공격 (supply chain attack)의 정점이었습니다.

듄 (Dune)의 모래 벌레 이름을 딴 샤이 훌루드 (Shai-Hulud) 캠페인은 2025년 가장 공격적인 npm 공급망 공격을 상징합니다. 700개 이상의 npm 패키지를 오염시켰고, 27,000개의 GitHub 리포지토리를 감염시켰으며, 487개 조직에 걸쳐 약 14,000개의 개발자 비밀 정보 (developer secrets)를 노출시켰습니다. 총 피해액은 5,800만 달러 이상의 암호화폐 탈취로, 암호화폐 역사상 개발자를 대상으로 한 가장 막대한 피해를 입힌 공격 중 하나가 되었습니다.

공급망 웜의 해부​

사용자가 악성 소프트웨어를 다운로드하도록 유도하는 일반적인 맬웨어와 달리, 공급망 공격은 개발자가 이미 신뢰하고 있는 도구를 오염시킵니다. 샤이 훌루드 캠페인은 거의 모든 암호화폐 지갑, DeFi 프론트엔드 및 Web3 애플리케이션을 포함하여 대부분의 자바스크립트 (JavaScript) 개발을 구동하는 패키지 관리자인 npm을 무기화했습니다.

이 공격은 2025년 9월 첫 번째 물결로 시작되어 약 5,000만 달러의 암호화폐 도난을 초래했습니다. 그러나 작전의 진정한 정교함을 보여준 것은 11월의 "두 번째 강림 (The Second Coming)"이었습니다. 11월 21일부터 23일 사이, 공격자들은 Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase, Postman 등을 포함한 주요 프로젝트의 개발 인프라를 침해했습니다.

전파 메커니즘은 정교하면서도 치명적이었습니다. 샤이 훌루드가 정상적인 npm 패키지를 감염시키면, preinstall 스크립트에 의해 트리거되는 setup_bun.js와 bun_environment.js라는 두 개의 악성 파일을 주입합니다. 설치 후 활성화되는 전통적인 맬웨어와 달리, 이 페이로드는 설치가 완료되기 전, 심지어 설치가 실패하더라도 실행됩니다. 개발자가 무언가 잘못되었다는 것을 깨달을 때쯤에는 이미 자격 증명이 탈취된 상태입니다.

이 웜은 감염된 개발자가 관리하는 다른 패키지를 식별하여 악성 코드를 자동으로 주입하고 새로운 감염 버전을 npm 레지스트리에 게시합니다. 이러한 자동화된 전파를 통해 맬웨어는 공격자의 직접적인 개입 없이도 기하급수적으로 확산될 수 있었습니다.

개발자 비밀 정보에서 사용자 지갑까지​

오염된 npm 패키지와 트러스트 월렛 해킹 사이의 연결 고리는 공급망 공격이 어떻게 개발자로부터 최종 사용자에게 파급되는지 보여줍니다.

트러스트 월렛의 조사 결과에 따르면, 11월 샤이 훌루드 발생 기간 동안 개발자의 GitHub 비밀 정보가 노출된 것으로 나타났습니다. 이 노출로 인해 공격자는 브라우저 확장 프로그램 소스 코드와 중요하게는 크롬 웹 스토어 (Chrome Web Store) API 키에 접근할 수 있게 되었습니다. 이러한 자격 증명을 확보한 공격자들은 트러스트 월렛의 내부 릴리스 프로세스를 완전히 우회했습니다.

2025년 12월 24일, 트러스트 월렛 크롬 확장 프로그램의 2.68 버전이 크롬 웹 스토어에 등장했습니다. 이는 트러스트 월렛 개발자가 아닌 공격자에 의해 게시된 것이었습니다. 악성 코드는 확장 프로그램에 저장된 모든 지갑을 순회하며 각 지갑에 대해 니모닉 구문 (mnemonic phrase) 요청을 트리거하도록 설계되었습니다. 사용자가 비밀번호나 생체 인식으로 인증했는지 여부와 관계없이, 시드 구문은 정상적인 분석 데이터로 위장하여 공격자가 제어하는 서버로 조용히 유출되었습니다.

도난당한 자금의 내역은 다음과 같습니다: 비트코인 약 300만 달러, 이더리움 300만 달러 이상, 그리고 솔라나 및 기타 토큰의 소량 금액. 며칠 만에 공격자들은 중앙화 거래소를 통해 자금을 세탁하기 시작했습니다. ChangeNOW로 330만 달러, FixedFloat으로 34만 달러, 그리고 KuCoin으로 44만 7천 달러가 전송되었습니다.

데드맨 스위치 (Dead Man's Switch)​

아마도 가장 우려되는 점은 샤이 훌루드 맬웨어의 "데드맨 스위치" 메커니즘일 것입니다. 만약 웜이 GitHub이나 npm에 인증할 수 없게 되어 전파 및 유출 채널이 차단되면, 사용자 홈 디렉토리의 모든 파일을 삭제합니다.

이 파괴적인 기능은 여러 목적을 수행합니다. 탐지 시도를 방해하고, 공격자의 흔적을 감추는 혼란을 야기하며, 방어자가 명령 및 제어 (C&C) 인프라를 차단하려고 할 때 압박 수단이 됩니다. 적절한 백업을 유지하지 않은 개발자의 경우, 정화 시도가 실패하면 자격 증명 탈취에 더해 치명적인 데이터 손실을 입을 수 있습니다.

공격자들은 심리적인 정교함도 보여주었습니다. 트러스트 월렛이 침해 사실을 발표하자, 동일한 공격자들은 뒤따르는 패닉을 악용하여 피싱 캠페인을 시작했습니다. "지갑 확인"을 위해 사용자의 복구 시드 구문을 입력하라는 가짜 트러스트 월렛 브랜드 웹사이트를 만들었습니다. 일부 피해자들은 두 번이나 피해를 입었습니다.

내부자 소행 의혹​

바이낸스 (Binance)의 공동 창립자 창펑 자오 (CZ)는 트러스트 월렛 탈취가 내부자 또는 배포 권한에 이전에 접근했던 누군가에 의해 수행되었을 가능성이 "매우 높다"고 암시했습니다. 트러스트 월렛 자체 분석에 따르면 공격자들이 2025년 12월 8일 이전에 개발자 장치를 제어하거나 배포 권한을 획득했을 수 있다고 제안합니다.

보안 연구원들은 국가 차원의 개입 가능성을 시사하는 패턴에 주목했습니다. 크리스마스 이브라는 타이밍은 보안 팀의 인력이 부족한 연휴 기간에 공격하는 흔한 지능형 지속 위협 (APT) 수법을 따릅니다. 샤이 훌루드 캠페인의 기술적 정교함과 규모, 그리고 신속한 자금 세탁은 일반적인 범죄 조직을 넘어서는 자원이 투입되었음을 시사합니다.

브라우저 확장 프로그램이 유독 취약한 이유​

트러스트 월렛 (Trust Wallet) 사건은 암호화폐 보안 모델의 근본적인 취약점을 부각시킵니다. 브라우저 확장 프로그램은 웹 페이지를 읽고 수정하며, 로컬 스토리지에 접근하고, 암호화폐 지갑의 경우에는 수백만 달러의 자산에 접근할 수 있는 키를 보유하는 등 막대한 권한을 가지고 작동합니다.

공격 표면은 매우 넓습니다:

• 업데이트 메커니즘: 확장 프로그램은 자동으로 업데이트되며, 단 한 번의 오염된 업데이트가 모든 사용자에게 도달합니다.
• API 키 보안: Chrome 웹 스토어 API 키가 유출되면 누구나 업데이트를 게시할 수 있습니다.
• 신뢰 가정: 사용자는 공식 스토어에서 제공하는 업데이트가 안전하다고 가정합니다.
• 연휴 타이밍: 연휴 기간 동안 보안 모니터링이 줄어들어 공격자가 더 오랜 시간 탐지되지 않고 머물 수 있습니다.

이것은 암호화폐 사용자를 대상으로 한 최초의 브라우저 확장 프로그램 공격이 아닙니다. 이전의 사례로는 VS Code 확장 프로그램을 겨냥한 GlassWorm 캠페인과 FoxyWallet Firefox 확장 프로그램 사기 사건이 있었습니다. 하지만 트러스트 월렛 침해 사고는 금전적 규모 면에서 가장 컸으며, 공급망 침해가 어떻게 확장 프로그램 공격의 파급력을 증폭시키는지 입증했습니다.

바이낸스의 대응과 SAFU 선례​

바이낸스는 피해를 입은 트러스트 월렛 사용자들이 SAFU (사용자 안전 자산 펀드)를 통해 전액 보상받을 것이라고 확인했습니다. 이 펀드는 2018년 거래소 해킹 이후 설립되었으며, 보안 사고로 인한 사용자 손실을 보전하기 위해 거래 수수료의 일부를 예비비로 적립해 둡니다.

보상 결정은 중요한 선례를 남기며, 책임 할당에 대한 흥미로운 질문을 던집니다. 트러스트 월렛은 해당 기간에 단순히 지갑을 열었을 뿐인 사용자의 직접적인 잘못 없이 침해되었습니다. 하지만 근본 원인은 개발자 인프라를 무너뜨린 공급망 공격이었고, 이는 다시 npm의 광범위한 생태계 취약성으로 인해 가능했습니다.

트러스트 월렛의 즉각적인 대응에는 2주 동안 새로운 버전 출시를 차단하기 위한 모든 릴리스 API 만료 처리, 악성 데이터 유출 도메인을 등록 기관에 신고(즉시 정지 처리), 깨끗한 버전인 2.69 버전 배포 등이 포함되었습니다. 12월 24일에서 26일 사이에 확장 프로그램 잠금을 해제했던 사용자들에게는 즉시 새로운 지갑으로 자금을 옮길 것이 권고되었습니다.

크립토 생태계를 위한 교훈​

Shai-Hulud 캠페인은 트러스트 월렛을 넘어 확장되는 시스템적 취약성을 드러냅니다:

개발자를 위한 제언​

의존성을 명시적으로 고정하십시오. npm install 시 임의의 코드가 실행될 수 있기 때문에 사전 설치 스크립트 악용이 가능해집니다. 알려진 안전한 버전으로 고정하면 자동 업데이트를 통해 오염된 패키지가 도입되는 것을 방지할 수 있습니다.

비밀 정보가 노출된 것으로 간주하십시오. 2024년 11월 21일에서 12월 25일 사이에 npm 패키지를 가져온 모든 프로젝트는 자격 증명이 노출되었다고 가정해야 합니다. 이는 npm 토큰, GitHub PAT, SSH 키 및 클라우드 서비스 제공업체 자격 증명을 취소하고 재생성해야 함을 의미합니다.

적절한 비밀 관리 시스템을 구현하십시오. 앱 스토어 게시와 같은 중요 인프라를 위한 API 키는 프라이빗 레포지토리라 할지라도 절대 버전 관리 시스템에 저장해서는 안 됩니다. 하드웨어 보안 모듈(HSM)이나 전용 비밀 관리 서비스를 사용하십시오.

피싱 방지 MFA를 강제하십시오. 표준 2단계 인증은 정교한 공격자에 의해 우회될 수 있습니다. YubiKey와 같은 하드웨어 키는 개발자 및 CI / CD 계정에 대해 더 강력한 보호를 제공합니다.

사용자를 위한 제언​

지갑 인프라를 다각화하십시오. 모든 자금을 브라우저 확장 프로그램에 보관하지 마십시오. 하드웨어 지갑은 소프트웨어 취약점으로부터 격리 환경을 제공하며, 잠재적으로 침해된 브라우저에 시드 구문을 노출하지 않고도 트랜잭션에 서명할 수 있습니다.

업데이트가 악성일 수 있다고 가정하십시오. 소프트웨어를 편리하게 만드는 자동 업데이트 모델은 소프트웨어를 취약하게 만들기도 합니다. 보안이 중요한 확장 프로그램의 경우 자동 업데이트를 비활성화하고 새 버전을 수동으로 확인하는 것을 고려해 보십시오.

지갑 활동을 모니터링하십시오. 비정상적인 트랜잭션을 알리는 서비스를 사용하면 침해 사실을 조기에 인지하여 공격자가 지갑 전체를 비우기 전에 손실을 제한할 수 있습니다.

업계를 위한 제언​

npm 생태계를 강화하십시오. npm 레지스트리는 Web3 개발의 핵심 인프라임에도 불구하고 웜(worm)과 같은 확산을 방지할 수 있는 많은 보안 기능이 부족합니다. 필수적인 코드 서명, 재현 가능한 빌드, 패키지 업데이트에 대한 이상 탐지 등은 공격자의 진입 장벽을 크게 높일 수 있습니다.

브라우저 확장 프로그램 보안을 재고하십시오. 확장 프로그램이 자동 업데이트되고 광범위한 권한을 갖는 현재의 모델은 막대한 자산을 보유하기 위한 보안 요구 사항과 근본적으로 양립할 수 없습니다. 샌드박스 실행 환경, 사용자 검토를 거친 지연 업데이트, 권한 축소 등이 도움이 될 수 있습니다.

사고 대응을 공조하십시오. Shai-Hulud 캠페인은 크립토 생태계 전반의 수백 개 프로젝트에 영향을 미쳤습니다. 더 나은 정보 공유와 조율된 대응이 있었다면 오염된 패키지가 식별됨에 따라 피해를 제한할 수 있었을 것입니다.

크립토 공급망 보안의 미래​

암호화폐 산업은 역사적으로 스마트 컨트랙트 감사, 거래소 콜드 스토리지, 사용자 대상 피싱 방지에 보안 노력을 집중해 왔습니다. Shai-Hulud 캠페인은 가장 위험한 공격이 크립토 사용자가 직접 상호작용하지는 않지만 그들이 사용하는 모든 애플리케이션의 기반이 되는 개발자 도구 및 인프라에서 올 수 있음을 보여줍니다.

Web3 애플리케이션이 복잡해짐에 따라 의존성 그래프도 커지고 있습니다. 각 npm 패키지, 각 GitHub 액션, 각 CI / CD 통합은 잠재적인 공격 경로를 나타냅니다. Shai-Hulud에 대한 업계의 대응은 이것이 일회성 경고로 끝날지, 아니면 크립토 인프라에 대한 공급망 공격 시대의 시작이 될지를 결정할 것입니다.

현재로서는 공격자들의 신원이 밝혀지지 않았습니다. 도난당한 트러스트 월렛 자금 중 약 280만 달러가 공격자의 지갑에 남아 있으며, 나머지는 중앙화 거래소와 크로스체인 브릿지를 통해 세탁되었습니다. 더 넓은 Shai-Hulud 캠페인의 초기 탈취액인 5,000만 달러 이상의 자금은 블록체인의 가명성 속으로 대부분 사라졌습니다.

샌드웜(sandworm)은 크립토의 기반 깊숙이 파고들었습니다. 이를 뿌리 뽑으려면 업계가 초창기부터 당연하게 여겨왔던 보안 가정들을 근본적으로 재고해야 할 것입니다.

---

안전한 Web3 애플리케이션을 구축하려면 견고한 인프라가 필요합니다. BlockEden.xyz는 모니터링 및 이상 탐지 기능이 내장된 엔터프라이즈급 RPC 노드와 API를 제공하여 개발자가 사용자에게 영향을 미치기 전에 비정상적인 활동을 식별할 수 있도록 돕습니다. 보안 중심의 기반 위에서 구축을 시작하려면 API 마켓플레이스를 살펴보세요.

Fortune 500 기업의 78 % 가 국제 B2B 송금을 위해 암호화폐 결제를 탐색하거나 시범 운영하고 있는 현재, 질문은 암호화폐 결제 인프라가 중요한지가 아니라, 누가 다음 1 조 달러를 실어 나를 레일을 구축할 것인가입니다. 이 경쟁에서 두 플랫폼이 선두 주자로 부상했습니다. "글로벌 금융 허브" 가 되려는 야망을 품고 173 개국에 서비스를 제공하는 싱가포르 기반 게이트웨이 Alchemy Pay 와, 전 세계 비트코인 활동의 0.8 % 를 처리하는 에스토니아 라이선스 프로세서 CoinsPaid 입니다. B2B 패권을 둘러싼 이들의 싸움은 기업들이 국경을 넘어 자금을 이동시키는 미래의 방식을 보여줍니다.

2025년 개인 지갑 보안 침해 사고는 158,000건으로 급증하여 80,000명의 개별 피해자가 발생했으며, 개인 지갑에서만 7억 1,300만 달러가 도난당했습니다. 이는 거래소 해킹이나 프로토콜 취약점 공격이 아닙니다. 단순한 피싱 이메일을 훨씬 뛰어넘는 수준으로 진화한 공격자들에게 일상적인 암호화폐 사용자들이 저축한 자산을 잃고 있는 것입니다. 개인 지갑 보안 침해는 현재 전체 암호화폐 도난 가치의 37%를 차지하며, 이는 2022년의 7.3%에서 크게 증가한 수치입니다. 메시지는 분명합니다. 암호화폐를 보유하고 있다면 당신은 공격 대상이며, 과거의 보호 전략은 더 이상 충분하지 않습니다.

2025년 상반기에만 공격자들은 암호화폐 프로토콜에서 23억 달러 이상을 탈취했으며, 이는 2024년 전체 피해액을 합친 것보다 많은 수치입니다. 이 중 액세스 제어(Access control) 취약점으로 인한 피해액만 16억 달러에 달했습니다. 2025년 2월에 발생한 14억 달러 규모의 바이비트(Bybit) 해킹 사건은 공급망 공격(Supply chain attack)을 통해 대형 거래소조차 얼마나 취약할 수 있는지를 보여주었습니다. 2026년에 접어들면서 스마트 컨트랙트 보안 감사 업계는 중대한 기로에 서 있습니다. 진화하지 않으면 수십억 달러가 공격자의 지갑으로 사라지는 것을 지켜봐야만 할 것입니다.

2025년 전체 암호화폐 시가총액이 처음으로 $4조 를 돌파했습니다. 비트코인 ETF는$ 577억 의 순유입액을 기록했습니다. 스테이블코인의 월간 거래량은 비자 (Visa) 를 능가하는 $ 3.4조 에 달했습니다. 실물 자산 (RWA) 토큰화는 전년 대비 240 % 폭발적으로 성장했습니다. 하지만 이러한 기록적인 수치들 속에서도 2025년의 가장 중요한 이야기는 가격이 아니었습니다. 그것은 바로 Web3 가 투기적인 놀이터에서 기관 등급의 금융 인프라로 근본적으로 변화했다는 사실입니다.