북한 연계 해킹 의혹… 탈중앙화 거래소 '드리프트 프로토콜' 2억8000만불 피해

미국에서 탈중앙화 거래소 ‘드리프트 프로토콜(Drift Protocol)’투자자들을 대리한 집단소송이 제기돼 스테이블코인 USDC 발행사 ‘서클 인터넷 파이낸셜(Circle Internet Financial)’의 책임 여부를 둘러싼 논란이 확산되고 있다.

온라인 매체 ‘The Defiant’에 따르면 법률회사 ‘깁스 무라(Gibbs Mura)’는 4월 1일 발생한 약 2억8000만달러 규모의 드리프트 프로토콜 해킹 사건과 관련해  이 회사 투자자들을 대리한 집단소송을 제기했다고 밝혔다.

소장에 따르면 북한 정부와 연관이 있는 것으로 보이는 해커들은 약 2억3000만달러 상당의 도난 자금을 서클 인터넷 파이낸셜의 스테이블코인 USDC와 크로스체인 브릿지(CCTP) 인프라를 활용해 약 8시간 동안 이동시키고 현금화했다. 원고 측은 서클이 기술적·계약적으로 해당 자산을 동결할 수 있는 권한을 보유하고 있었는데도 이를 행사하지 않았다고 주장하고 있다.

이번 해킹은 솔라나(Solana) 블록체인에서 사전 서명된 관리자 거래를 이용해 실행된 것으로 전해졌다. 이로 인해 드리프트 프로토콜의 총예치 자산(TVL)은 약 5억5000만 달러에서 2억5000만달러 이하로 급감했으며, 이후 최소 20개 이상의 추가 프로토콜에서도 연쇄적인 간접 손실이 발생한 것으로 보고됐다.

블록체인 분석업체 일립틱은 이번 공격이 북한 정부와 연계된 해커 조직과 관련이 있다고 분석했다. 원고 측은 또한 서클이 이번 사건뿐 아니라 과거에도 유사한 대규모 해킹 사건에서 도난 자금의 이동을 제한하지 못했으며, 이로 인해 약 4억2000만 달러 규모의 컴플라이언스 실패가 누적됐다고 주장했다.

원고 측은 서클이 충분한 기술적 통제 권한과 인프라를 보유하고 있었음에도 불구하고, 자금 동결이나 차단 조치를 취하지 않아 결과적으로 피해 확산을 방조했다고 강조했다.

이번 사건은 스테이블코인 발행사의 책임 범위, 그리고 탈중앙화 금융 생태계에서 중앙화된 인프라 운영자의 역할과 규제 책임 문제를 둘러싼 논쟁을 다시 촉발시키고 있다. <김기춘 기자>