3.28억 달러 손실과 러시아 스테이블코인의 부상: CertiK 보고서, 스테이블코인 보안 및 규정 준수의 이중 과제 조명

최근, 세계 최대의 Web3 보안 기업인 CertiK가 《Skynet 2026 스테이블코인 위협 보고서》를 발표하며, 현재 스테이블코인 생태계가 직면한 두 가지 핵심 과제를 체계적으로 정리했습니다. 한편으로는 2026년 이후 크로스체인 브리지 관련 보안 사고로 3억 2,800만 달러 이상의 손실이 발생했으며, 공격자들은 스마트 계약 취약점에서 크로스체인 브리지, 수탁 시스템 및 결제 인프라로 목표를 전환하고 있습니다. 다른 한편으로는 러시아 루블 스테이블코인 A7A5가 출시 이후 누적 거래액이 1,100억 달러를 초과하며 국가 차원의 제재를 회피하는 핵심 도구로 자리 잡고 있습니다.

보고서는 이 두 가지 위협이 상호 얽혀 스테이블코인 보안이 초기 암호화폐 투기 위험 범주를 벗어나 글로벌 결제 네트워크 및 국경 간 금융 시스템의 안전과 직접적으로 연결된 시스템적 과제로 격상되었다고 강조합니다.

코드 취약점에서 인프라 공격으로

지난 몇 년간 해커 공격은 주로 스마트 계약 취약점에 집중되었습니다. 그러나 스테이블코인이 점차 크로스체인 유동성 및 글로벌 결제의 중요한 수단이 됨에 따라 공격자들의 목표도 더 높은 가치를 지닌 핵심 인프라 계층으로 이동하기 시작했습니다.

보고서에 따르면, 2026년 이후 크로스체인 브리지 관련 보안 사고로 3억 2,800만 달러 이상의 손실이 발생했습니다. 그중 4월에 발생한 Kelp DAO 지갑 유출 사건은 단일 피해액이 2억 9,100만 달러에 달하며, 올해迄今 가장 큰 규모의 크로스체인 브리지 관련 사건 중 하나로 기록되었습니다.

CertiK 보고서는 크로스체인 브리지와 상호운용성 프로토콜이 전체 스테이블코인 생태계에서 여전히 가장 취약한 부분 중 하나라고 분석합니다. 스테이블코인 유동성이 다양한 블록체인과 Layer2 네트워크에 분산되어 있기 때문에, 크로스체인 브리지는 가치 이전의 핵심 기능을 담당합니다. 검증 노드, 메시지 검증 메커니즘 또는 다중 서명 시스템에 문제가 발생하면 위험이 여러 생태계로 빠르게 확산될 수 있습니다.

주목할 점은 지갑 유출이 기존의 코드 취약점을 대체하여 주요 공격 대상이 되고 있다는 것입니다.

보고서 통계에 따르면, 올해 발생한 여러 주요 DeFi 보안 사고는 개인 키 관리 실패, 접근 제어 결함 및 운영 계층 보안 문제와 관련이 있습니다. 공격자들은 점차 복잡한 온체인 로직을 우회하여 수탁 시스템, 금고 구조 및 운영 프로세스를 직접 공격하는 경향을 보입니다.

"스테이블코인 보안 문제는 점점 전통적인 금융 보안 문제와 유사해지고 있습니다." 보고서는 스테이블코인이 결제 시스템 및 기관 비즈니스 영역에 깊숙이 침투함에 따라 KYC 서비스 제공업체, 결제 API, 제재 심사 시스템 및 신원 확인 인프라도 공격 대상이 되고 있다고 지적합니다.

A7A5: 1,100억 달러 규모의 '제재 저항' 경제권

기술적 공격에 비해, 보고서는 A7A5에 더 큰 주목을 기울입니다.

A7A5는 러시아 루블에 기반한 스테이블코인으로, 2025년 초에 출시되었습니다. 보고서에 따르면, 이 스테이블코인은 러시아 국경 간 결제 플랫폼 A7 네트워크에 의해 추진되었으며, 러시아 국영 은행인 Promsvyazbank(PSB) 등 기관의 지원을 받고 있습니다.

온체인 데이터 분석에 따르면, 출시 후 1년도 채 되지 않아 A7A5의 누적 체인 거래액은 1,100억 달러를 초과했으며, 이는 전 세계 비미국 달러 스테이블코인 시장의 약 43%를 차지합니다.

보고서는 A7A5의 중요성은 규모 자체가 아니라, 스테이블코인 기술을 활용하여 서방 금융 시스템의 영향을 받지 않는 국경 간 결제 네트워크를 구축하는 새로운 스테이블코인 모델을 보여주었다는 점에 있다고 분석합니다.

2025년 Garantex 거래소가 미국 법무 당국의 단속을 받은 후, A7A5는 빠르게 러시아 암호화폐 경제의 중요한 유동성 도구가 되었습니다. 보고서는 이 시스템이 설계상 USDT 모델을 차용했지만, 발행, 준비금 관리 및 규정 준수 통제를 모두 서방 규제 관할권 밖에 두고 있다고 설명합니다.

보고서는 이는 스테이블코인이 더 이상 단순한 결제 도구가 아니라, 지정학적 요인 및 국제 제재 체계에서 중요한 변수가 될 수 있음을 의미한다고 지적합니다.

스테이블코인, '국가 간 게임' 단계 진입

A7A5의 발전은 여러 국가 규제 기관의 공동 대응을 촉발했습니다.

보고서에 따르면, EU는 2025년 처음으로 A7A5를 제재 프레임워크에 직접 포함시켰으며, 이는 명시적으로 거래가 금지된 최초의 암호화폐가 되었습니다. 이후 미국 재무부 해외자산통제국(OFAC)과 영국 금융제재집행국(OFSI)도 관련 법인에 대한 제재를 잇따라 시행했습니다.

동시에, EU는 2026년에 규제 범위를 더욱 확대하여 단일 프로젝트에서 러시아 전체 암호화폐 서비스 생태계에 대한 분류별 금지로 전환했습니다.

그러나 온체인 데이터는 이러한 조치가 A7A5의 발전을 근본적으로 막지 못했음을 보여줍니다. 2025년 2월부터 2026년 5월까지 A7A5 보유 주소 수는 약 1만 3,000개에서 약 2만 9,000개로 증가했습니다. 여러 제재 시점 전후로 온체인 데이터에서 뚜렷한 감소세는 나타나지 않았습니다.

보고서는 이는 현재의 글로벌 제재 시스템이 온체인 금융 네트워크에 직면했을 때 여전히 명백한 한계를 가지고 있음을 반영한다고 지적합니다. 사용자 기반이 주로 서방 법적 영향권 밖에 위치할 경우, 전통적인 제재 조치의 실질적 효과가 크게 약화될 수 있습니다.

보고서는 또한 A7 네트워크가 아프리카 시장으로 확장을 시작했다고 언급합니다. 러시아는 여러 아프리카 국가들을 A7 결제 네트워크에 초대했으며, 나이지리아와 짐바브웨에 사무소를 설립하고 아프리카 남부에 금융 통로를 구축할 계획입니다. 관련 네트워크가 더 확장될 경우, 현지 금융 기관이 모르는 사이에 제재 대상 시스템과 거래를 하게 되어 서방으로부터 잠재적인 2차 제재 위험에 직면할 수 있습니다.

결론 및 업계 규정 준수 제안

보고서는 2026년 스테이블코인 위협 구도가 '이중 진화' 특징을 보인다고 결론지었습니다. 기술적 측면에서는 공격 활동이 프로토콜 취약점에서 금융 인프라로 이동하고 있으며, 지리적 정치적 측면에서는 스테이블코인이 전통적인 금융 시스템 밖의 새로운 결제 네트워크를 구축하는 데 사용되기 시작했습니다.

CertiK는 보고서 말미에 기업과 금융 기관이 더 이상 공식 제재 명단의 법인 이름만 확인하는 데 의존해서는 안 되며, 보다 적극적인 방어 태세를 취해야 한다고 제안합니다.

● 명단에 없는 컨트랙트 주소 명확히 조사: 보고서 발행 시점까지 OFAC는 A7A5의 스마트 계약 주소를 SDN(특별지정제재대상) 명단에 포함시키지 않았습니다. 금융 기관은 이더리움 주소(0x6fA0BE17e4beA2fCfA22ef89BF8ac9aab0AB0fc9)와 트론 주소(TLeVfrdym8RoJreJ23dAGyfJDygRtiWKBZ)를 내부 심사 시스템에 적극적으로 등록해야 합니다.

● 고위험 거래 은행 익스포저 재평가: 나이저리아, 짐바브웨, 키르기스스탄 등 A7A5가 활발히 사용되는 관할 구역에 거래 은행 업무를 두고 있는 금융 기관은 현지 거래 상대방이 관련 연계 법인에 관여하고 있는지 면밀히 조사해야 합니다.

● 보안 중심을 운영 계층으로 전환: 지갑 유출 및 개인 키 관리가 주요 운영 위험이 되었으므로, 기업은 정기적으로 독립적인 제3자 감사를 실시하고 크로스체인 메시지 전송 로직, 검증 노드 및 다중 서명 제어를 전면적으로 강화해야 합니다.

2026년의 스테이블코인 보안은 분명히 초기 암호화폐 응용의 좁은 범주를 벗어났습니다. 스테이블코인 보안은 더 이상 블록체인 업계만의 문제가 아니라, 글로벌 금융 인프라 위험 관리의 중요한 의제가 되고 있습니다.

보고서 전문: https://indd.adobe.com/view/c10a9bca-6be9-4272-83ed-ec9fc631b48f