휴머니티 프로토콜, 피싱 공격으로 3,600만 달러 탈취...JPYC는 카이아에서 폴리곤 추월

암호화폐 뉴스

생체인식 기반 탈중앙화 신원 프로젝트 휴머니티 프로토콜이 자체 토큰 H를 겨냥한 6월 8일 침해 사고에 대한 독립 보안 조사 결과를 공개했다. 조사에 따르면 공격자는 한국 거래소 빗썸을 사칭한 피싱 이메일을 회사 임원에게 발송했고, 해당 임원이 악성 파일을 열면서 원격 제어 악성코드가 설치됐다. 이를 통해 침입자는 임원 PC를 완전히 장악한 뒤 지갑 데이터와 개인키를 빼냈다. 최종적으로 약 3,600만 달러 규모의 토큰이 인출됐으며, 사고 직후 H 가격은 80% 이상 폭락했다. 조사진은 이번 사건을 우발적 공격이 아닌 정교하게 표적을 노린 침투로 규정했다.

내부에 침입한 공격자는 엔드포인트 보안을 우회하고 기기의 원격 데스크톱을 탈취한 뒤, 확보한 개인키로 두 개 네트워크에서 H를 조작했다. 이더리움에서는 토큰 컨트랙트를 업그레이드해 약 1억 4,100만 H를 인출했고, BNB 스마트체인에서는 ProxyAdmin 컨트랙트의 관리 권한을 가로채 추가 물량을 발행했다. 탈취·신규 발행된 토큰은 약 8시간에 걸쳐 유니스왑, 팬케이크스왑 등 탈중앙화 거래소를 통해 매도됐다. 이후 이더리움 컨트랙트는 DEX 배수 과정에서 공격자 통제 밖의 독립 멀티시그에 의해 동결됐으나, BSC 배포본은 여전히 침해 상태로 남아 추가 발행이 가능한 것으로 파악됐다.

조사진은 명확한 배후 지목은 유보하면서도, 북한 연계 침투 패턴과 일치하는 여러 기술적 흔적을 지적했다. 한컴 디지털 인증서로 서명된 1단계 로더, Stas’m RDP 래퍼, 마이크로소프트 디펜더의 네트워크 검사 서비스로 위장한 바이너리, 그리고 숨겨진 게스트 사용자 프로필 등이 확인됐다. 보고서는 이러한 도구와 기법을 결정적 증거라기보다 국가 연계 위협 행위자의 전형적 특징으로 해석했다. 프로젝트 측은 메인넷 브리지는 영향을 받지 않았다고 밝히며 취약한 BSC 컨트랙트와 관련해 거래소들과 공조 중이라고 전했다. 또한 이용자들에게 자금을 콜드월렛으로 옮기고 사칭 계정 및 사기성 청구 링크를 피하라고 당부했다.

상대적으로 조용하지만 구조적으로 의미 있는 변화도 있었다. 엔화 연동 스테이블코인 JPYC의 최대 유통량 거점이 새 체인으로 이동한 것이다. 온체인 추적 데이터에 따르면 6월 12일 카이아 블록체인이 폴리곤을 제치고 JPYC를 가장 많이 유통하는 체인으로 올라섰다. 라인의 핀시아와 카카오 계열 클레이튼의 합병으로 탄생한 카이아는 이더리움, 폴리곤, 아발란체와 함께 JPYC가 지원하는 네 개 네트워크 중 하나다. 카이아에서의 발행이 5월 15일에야 시작됐다는 점을 감안하면, 이번 역전은 유통 채널이 수개월이 아닌 수주 만에 스테이블코인의 입지를 재편할 수 있음을 보여주는 빠른 부상이다.

이러한 변화의 배경에는 카이아 내 사용처 확대가 있다. JPYC는 5월 22일 라인 앱 안에서 곧바로 접근 가능한 라인넥스트의 글로벌 핀테크 서비스 유니파이(Unifi)를 통해 이용할 수 있게 됐고, 이는 발행과 결제 경로를 동시에 넓혔다. 온체인 수치를 보면 전 체인의 JPYC 총량은 약 9억 2,350만 개에 이르며, 현재 카이아가 약 3억 6,250만 개를 보유해 폴리곤의 3억 3,120만 개를 앞선다. 이번 역전은 순수 투기 수요가 아닌 소비자 대상 통합 서비스가 규제 준수형 엔화 스테이블코인의 온체인 공급 이동을 실제로 견인할 수 있음을, 그리고 아시아 전역의 주류 결제 채택을 노리는 흐름을 잘 드러낸다.

이런 가운데 시장 전반의 투자 심리는 여전히 취약하다. 비트코인은 약 6만 6,000달러에 거래됐고, COINOTAG 집계 데이터 기준 공포·탐욕 지수는 20으로 극단적 공포 구간에 깊숙이 자리했으며, 비트코인 도미넌스는 70.3%를 기록했다. 이는 소형 토큰에 대한 투자 의욕이 위축되면서 자금이 최대 자산으로 집중되고 있음을 시사한다. 거시 변수도 불안을 더했다. 앤트로픽은 자사의 최첨단 AI 모델을 오프라인으로 끌어내린 신규 미국 수출 통제를 되돌리기 위해 이번 주 워싱턴에 고위 인사를 파견했는데, 이는 암호화폐 외부의 정책 충격이 위험자산 시장에 계속 파급되고 있음을 보여주는 규제 갈등의 단면이다.

이번 주의 여러 사건은 공통된 교훈을 던진다. 가치가 어디에 쌓이는지를 결정하는 것은 가격이 아니라 보안과 인프라라는 점이다. 전체 암호화폐 시가총액 약 1조 8,800억 달러, 비트코인 도미넌스 70.3%, 극단적 공포 지수 20이라는 COINOTAG 집계 시장 데이터는 투기보다 회복력에 보상을 주는 방어적 시장을 가리킨다. 독립 온체인 조사로 확인된 휴머니티 프로토콜 침해 사고는 단 한 통의 피싱 이메일이 수천만 달러를 지울 수 있음을 보여줬고, 투명한 온체인 공급 데이터로 입증된 JPYC의 체인 이동은 이제 채택이 사용성을 뒤따른다는 사실을 입증했다. 이런 환경에서는 검증 가능한 펀더멘털과 운영 보안이 견고한 프로젝트와 취약한 프로젝트를 점점 더 분명하게 갈라놓는다.