암호화폐의 새로운 전장: 8,170만 달러 규모 노비텍스 해킹, 디지털 금융 전쟁 시대의 도래를 알리다
대담한 사이버 전쟁의 양상 속, 이란 최대 암호화폐 거래소가 정치적 동기를 가진 공격자들의 희생양이 되었다. 공격자들은 자금을 훔치는 대신 소각하는 방식을 택하며, 지정학적 분쟁의 불길한 새 전선을 예고했다.
2025년 6월 18일 새벽 어스름한 시간, 대부분의 트레이더들이 시장 변동에 집중하고 있을 때, 이란 최대 암호화폐 거래소 노비텍스(Nobitex)는 수백만 달러의 손실을 입고 있었다. 이는 일반적인 영리 목적의 강도 행위가 아닌, 암호화폐 산업과 지정학적 영역 모두에 충격을 던진 계산된 디지털 파괴 행위로 보인다.
공격자들은 노비텍스의 핫월렛에서 8,170만 달러 이상을 빼돌려 "FuckiRGCTerroristsNoBiTEX"와 같은 문구를 대담하게 포함한 도발적인 이름의 "허세성 주소(vanity address)"로 보냈다. 보안 전문가들은 이를 최초의 주요 정치적 동기 암호화폐 공격으로 평가하고 있다.
노비텍스 해킹 요약 (2025년 6월)
| 분류 | 세부 내용 |
|---|---|
| 공격 일시 | 2025년 6월 18일 |
| 공격 대상 | 노비텍스 (이란 최대 암호화폐 거래소) |
| 피해 금액 | 8,170만 달러 (핫월렛 한정) |
| 공격 방식 | - **정보 탈취 악성코드(StealC, Redline)**를 통한 직원 자격 증명 침해 - 허술한 접근 통제 |
| 공격자 | 곤제슈케 다란데 (프레데터리 스패로우) – 친이스라엘 해킹 그룹 |
| 정치적 동기 | 이란 정권, 제재 회피, 테러 자금 조달 의혹에 대한 항의 |
| 지갑 전술 | 반노비텍스/반이란 메시지를 포함한 허세성 주소 사용 (예: "FuckiRGCTerroristsNoBiTEX") |
| 자금 상태 | 탈취된 자금 미이동 (재정적 동기보다 정치적 동기를 시사) |
| 사용자 영향 | - 핫월렛 손실은 보험으로 보전 - 콜드 스토리지 영향 없음 |
| 광범위한 동향 | - 사회 공학이 암호화폐 해킹의 주요 원인 (2025년 21억 달러 이상 탈취) - 키 관리 실패 증가 |
| 지정학적 연관성 | 하루 전 같은 그룹에 의한 이란 국영 은행 세파(Bank Sepah) 사이버 공격 이후 발생 |
디지털 파괴의 해부
블록체인 조사관 잭XBT(ZachXBT)가 트론(Tron) 및 이더리움(Ethereum) 네트워크에서 의심스러운 자금 유출에 대한 경고를 발령한 지 몇 시간 만에 노비텍스는 나머지 핫월렛을 동결했다. 그러나 이미 피해는 발생했다. 이번 침해의 기술적 정교함은 사이버 보안 전문가들을 경악시켰다.
"이 공격이 특히 주목할 만한 점은 실행의 정확성입니다."라고 민감한 지정학적 사안으로 인해 익명을 요청한 한 선임 위협 분석가는 설명했다. "공격자들은 접근 통제의 치명적인 약점을 악용했지만, 암호화폐 강탈의 일반적인 최종 목표인 자금 세탁이나 현금화에는 전혀 관심이 없었습니다."
포렌식 조사 결과, 공격자들은 몇 주 전 스틸C(StealC)와 레드라인(Redline) 정보 탈취 악성코드를 통해 노비텍스 직원 두 명의 자격 증명을 침해하여 핫월렛 키가 포함된 내부 서버에 접근 권한을 얻은 것으로 드러났다. 이는 암호화폐 수탁 아키텍처에서 치명적인 보안 결함이다.
탈취된 자금은 의도적으로 복구할 수 없도록 설계된 "버너(burner)" 주소에 눈에 띄게 미이동 상태로 남아 있으며, 이는 통상적인 절도를 대담한 정치적 성명으로 변모시켰다.
핵티비즘(Hacktivism)이 국가 수준의 사이버 작전을 만날 때
침해 발생 몇 시간 후, 친이스라엘 해킹 그룹 곤제슈케 다란데(Gonjeshke Darande, 프레데터리 스패로우)는 자신들의 소행임을 주장하며, 노비텍스가 이란의 국제 제재 회피 및 테러 자금 조달을 용이하게 했다고 비난했다. 이 그룹은 또한 거래소의 소스 코드와 내부 데이터를 공개하겠다고 위협했다.
이번이 프레데터리 스패로우의 이란 인프라에 대한 첫 공격은 아니다. 불과 하루 전, 이 그룹은 이란 국영 은행 세파(Bank Sepah)에 대한 공격의 책임을 주장하며, 보안 전문가들이 주목하는 패턴을 확립했다.
"자격 증명 탈취와 핵티비스트 메시징이 결합된 반복적인 시그니처는 국가 지원 사이버 부대에 대한 귀속을 강화합니다."라고 이번 사건을 추적하는 블록체인 포렌식 전문가는 언급했다. "우리가 목격하는 것은 제재 집행이 디지털 영역으로 진화하는 것입니다."
전 NSA 사이버 보안 국장 롭 조이스(Rob Joyce)는 이 작전이 "정교한 계획과 국가적 지원 가능성"을 보여준다고 평가하며, 행동주의, 사이버 범죄, 국가 지원 작전 간의 경계가 점점 더 흐려지고 있음을 강조했다.
왜 이 공격이 모든 것을 바꾸는가
노비텍스 사건은 여러 가지 이유로 암호화폐 보안의 분수령이 되는 순간을 나타낸다. 일반적인 영리 목적의 공격과 달리, 이 "핵티비스트 소각"은 공격자를 부유하게 하지 않으면서 경제적 피해를 입히며, 자금을 효과적으로 무력화하면서도 노골적인 절도로 인한 외교적 파장을 피한다.
"자산 소각 해킹은 사실상의 사이버 제재 도구로 부상하고 있습니다."라고 한 지정학적 리스크 컨설턴트는 제안한다. "이는 재무제표보다 명성을 더 위협하며, 제재 그림자 아래 운영되는 금융 시스템에서 신뢰 이탈을 가속화합니다."
이번 해킹은 또한 암호화폐 보안의 불안한 추세 속에서 발생했다. 보안 회사 서티크(CertiK)에 따르면, 2025년 암호화폐 관련 공격으로 21억 달러 이상이 도난당했으며, 사회 공학적 전술이 이제 프로토콜 수준의 취약점을 넘어 손실의 주요 원인이 되고 있다.
시장 파급 효과
즉각적인 시장 영향은 상당했다. 노비텍스의 태그된 지갑은 48시간 내에 18억 달러에서 9,600만 달러로 줄었으며, 이란 P2P 데스크에서의 TRX/테더(Tether) 거래량은 이미 글로벌 벤치마크 대비 3-5% 할인된 가격에 거래되고 있다.
"공격자들이 자금을 세탁하는 대신 '소각'했기 때문에, 주요 암호화폐에 대한 강제 매도 압력은 보이지 않습니다."라고 선도적인 트레이딩 데스크의 시장 분석가는 설명한다. "이는 올해 초 바이비트(Bybit) 사건과 중요한 차이점입니다. 당시에는 8만 이더리움(ETH) 이상이 24시간 내에 중앙화 및 탈중앙화 거래소로 유입되었습니다."
노비텍스는 해킹 전 콜드월렛에 약 4억 2천만 달러 규모의 자체 보험 풀을 보유하고 있어 8,200만 달러의 손실을 보전할 수 있다고 주장하지만, 이는 2년간의 유보 이익을 소진시키는 결과로 이어질 가능성이 높다.
투자 환경의 변화
투자 전문가들에게 이번 사건은 리스크 모델의 즉각적인 재조정을 요구한다. 보험 인수업자들은 이미 반응하고 있으며, 로이드(Lloyd's)는 운용 자산(AUM)의 5%를 초과하는 핫월렛 잔액에 대한 보험료를 연간 15~35bp(베이시스 포인트) 인상하여 즉시 적용할 것이라고 밝혔다.
이 분야는 몇 가지 중요한 변화를 겪을 것으로 예상된다.
- 보안 지출 증가 주기: 거래소가 방어력을 강화함에 따라 클라우드플레어(Cloudflare) 및 옥타(Okta)와 같은 거래소 보안 솔루션 제공업체와 키 관리 SaaS(Software as a Service)의 사설 시장 플레이어들이 수요 증가의 혜택을 볼 수 있다.
- 자체 수탁 르네상스: 핫월렛 불안감이 온체인(on-chain) 거래량을 증가시킴에 따라 수수료 포착 모델이 개선된 탈중앙화 거래소(DEX) 거버넌스 토큰이 강세를 보일 수 있다.
- 지정학적 리스크 프리미엄: 제재 인접 관할권에서 운영되는 거래소는 가중평균자본비용(WACC)에서 250-400bp의 가치 절하를 겪을 가능성이 높다.
- 수탁 아키텍처 전면 개편: 업계는 통합 대시보드 아래 다중 서명, 하드웨어 보안 모듈(HSM), 다자간 연산(MPC) 솔루션으로의 빠른 통합을 목격할 수 있다.
시장 참여자들은 OFAC(미국 해외자산통제국) 보도 자료를 면밀히 주시해야 한다. 노비텍스가 몇 주 내에 특별 지정 국가(SDN) 목록에 오를 수 있으며, 이는 거래소 상장 폐지 연쇄 효과를 촉발할 수 있다.
앞으로의 길
이 전례 없는 공격의 여파가 가라앉으면서 한 가지 분명해졌다. 암호화폐 인프라는 이제 지정학, 금융, 사이버 보안의 교차점에 확고히 자리 잡고 있다.
"핫월렛은 은행의 시재금(till-cash)과 유사하게 부채의 1~2%로 제한되는 규제 대상 '운영 자본'이 될 것입니다."라고 한 규제 준수 전문가는 예측한다. "거래소가 자산의 상당 부분을 인터넷 연결 시스템에 보관하던 시대는 끝났습니다."
전문 투자자들에게 노비텍스 사건은 암호화폐 환경이 예상치 못한 방식으로 계속 진화하고 있다는 사실을 상기시키는 계기가 된다. 리스크 모델을 조정하고, 거래 상대방 리스크를 재평가하며, 새롭게 부상하는 보안 패러다임에 대비하는 이들이야말로 이 새로운 디지털 금융 전쟁의 전선을 헤쳐나갈 최고의 위치에 있을 것이다.
투자 논제
| 분류 | 주요 세부 사항 |
|---|---|
| 사건 개요 | - 이익이 아닌 정치적 파괴를 위한 최초의 억대 규모 암호화폐 해킹 - 제재 대상 관할권의 암호화폐 거래소에 대한 최대 사이버 공격 - 핫월렛/키 관리 실패로 인한 공격, 프로토콜 버그 아님 |
| 침해 시간표 | - T-0: 허세성 주소("FuckiRGCTerroristsNoBiTEX…")를 통해 비정상적인 출금 감지 - T+1시간: 8,170만 달러 탈취 확인; 노비텍스 출금 중단 및 보험 청구 - T+5시간: "프레데터리 스패로우"(곤제슈케 다란데)가 자신들의 소행임을 주장 - 현황 (6월 18일): 자금은 버너 주소에 유휴 상태—회수 가능성 낮음 |
| 공격 벡터 | - 내부 서버에서 핫월렛 키 접근 가능 - 정보 탈취 악성코드(StealC/Redline)를 통한 시스템 관리자 자격 증명 탈취 - 크로스체인(교차 체인) 유출에 대한 실시간 이상 감지 부재 |
| 시장 및 리스크 영향 | - 수탁 리스크: AUM 5% 초과 핫월렛에 대한 보험료 15-35bp 인상 - 제재 리스크: 노비텍스 관련 자금 흐름에 대한 OFAC 조사 예상 - 유동성 영향: 노비텍스 지갑은 18억 달러에서 9,600만 달러로 하락; TRX는 3-5% 할인된 가격에 거래 - 지급 능력: 노비텍스는 손실을 보전할 수 있지만 2023-24년 수익 소진; 출금 한도 설정 가능성 |
| 거시적 동향 | - 핵티비스트(Hacktivist) 소각: 사이버 제재 도구로 부상 (이익 없는 경제적 피해) - 보안 동향: 2025년 암호화폐 손실의 71%가 사회 공학/키 침해로 인한 것 (스마트 계약 버그 19%) |
| 유사 사건 | - 바이비트 (25년 2월): 라자루스 그룹에 의해 14억 달러 탈취 (재정적 동기) - 이란 국영 은행 세파 (25년 6월): 프레데터리 스패로우에 의한 정치적 공격 - 노비텍스 (25년 6월): 8,170만 달러 규모 정치적 동기 버너 공격 |
| 실행 가능한 거래 | - 보안 지출: 클라우드플레어, 옥타, 수탁 SaaS 매수 - 제재 차익 거래: 이란 허브(TRX, USDT-e)에 대한 노출 감소 - DeFi(탈중앙 금융) 내러티브: DEX 토큰(유니스왑) 비중 확대 - 변동성: 지정학적 리스크에 대비한 단기 BTC/ETH 콜옵션 매수 |
| 모니터링 경고 | - 온체인: 버너 주소 추적 (예: 0xffFFf...Dead)- 규제: OFAC SDN 목록, 테더 동결 - 보험: 노비텍스 지급 능력 업데이트 |
| 미래 예측 | - 핫월렛은 부채의 1-2%로 제한 - 더 많은 핵티비스트 소각 발생 (다음은 러시아) - 수탁 기술 (다중 서명/MPC) 급성장 - 제재 대상 거래소는 가치 절하 직면 (WACC 250-400bp 증가) |
*면책 조항: 본 분석은 현재 시장