연 수입 1억 원에도 불구하고 선물거래에 빠져: 내부자 '스스로 연출한' 5000만 달러 절도 사건?
글: 1912212.eth, Foresight News
3월 20일, 블록체인 데이터 플랫폼 이더스캔(Etherscan)에 따르면 스테이블코인 디지털 은행 인피니(Infini) 팀이 한 해커 주소(0xfc…6e49)에 소송 통지를 체인 상 메시지로 전송했으며, 자세한 법원 소장 문서도 함께 첨부했다. 이 사건은 약 4951만 USDC의 자산을 훔친 것으로 금액이 막대해 업계의 큰 관심을 받고 있다.
소송 원고는 인피니 랩스 산하 전액 출자 자회사 BP SG Investment Holding Limited의 최고경영자인 저우 크리스천-롱(Chou Christian-Long)이며, 피고 중 한 명은 중국 광둥성 포산에 거주하는 엔지니어 천선쉬안(Chen Shanxuan, 중문명 진선현)이다. 나머지 2~4명의 피고 신원은 아직 확인되지 않았다.
올해 2월 말 인피니가 해킹당한 지 불과 한 달 만에 이미 용의자가 특정됐을까? 실체는 과연 무엇인가?
관리자 권한 비밀 유지와 거액 자금 유출
소송 문서에 따르면 인피니는 암호화폐와 전통 금융 서비스를 결합한 디지털 은행으로, 핵심 사업은 스테이블코인 USDC를 활용한 결제 솔루션, 고수익 계좌 및 암호화폐 카드 서비스 제공 등이다. 원고 저우 크리스천-롱은 문서에서 인피니가 BP 싱가포르와 협력해 회사 및 고객 자금의 안전한 보관 및 이체를 관리하는 스마트 컨트랙트를 개발했다고 밝혔다. 이 컨트랙트는 1번 피고 천선쉬안이 주도하여 개발했으며 다중서명(multi-signature) 메커니즘을 설계함으로써 자금 이체 시 여러 승인자의 승인이 필요하도록 해 자금 보안을 강화했다고 설명했다.
그러나 스마트 컨트랙트가 메인넷에 배포된 후 상황은 극적인 전환을 맞이한다. 소장은 천 씨가 컨트랙트 배포 과정에서 초급관리자(super admin) 권한을 몰래 보유하고 있었으며, 팀 내 다른 구성원들에게 해당 권한을 제거하거나 이전했다고 거짓말했다고 주장한다.
2월 24일 원고는 약 4951만 USDC가 승인 없이 자금 풀에서 이체되었음을 발견했는데, 자금은 여러 미확인 지갑 주소로 이동했으며 다중서명 검증 절차를 거치지 않았다. 초기 조사 결과, 이 자금은 이후 DAI로 교환되었으며, 그 돈으로 17,696개의 이더리움(ETH)을 신속히 매입한 후 여러 주소로 분산되었다. 일부 자금 출처는 프라이버시 도구인 Tornado Cash로 추적된다.
높은 평가를 받던 엔지니어, 연봉 백만 달러에도 불구하고 백배 레버리지 도박 중독으로 파국 맞아
소송 문서에 따르면 1번 피고 천선쉬안은 인피니 산하 자회사 BP 싱가포르에 고용되었지만, 주요 근무지는 중국 광둥성 포산에 위치하며 원격 근무 형태를 취하고 있었다. 스마트 컨트랙트의 주요 개발자로서 천 씨는 프로젝트에서 핵심 권한을 갖고 있었다. 문서는 그가 입사 기간이 짧음에도 불구하고 자금 관리 컨트랙트의 초급관리자 역할을 부여받았으며, 이 역할은 컨트랙트에 대한 절대적 통제권을 갖게 한다고 지적한다. 업계 관계자들은 인피니가 권한 배분에서의 소홀이 이번 사태의 발단이 됐을 가능성이 있다고 분석한다.
또한 원고는 선서문에서 최근 천선쉬안이 심각한 도박 중독이 있으며, 이로 인해 거액의 부채를 지고 있을 가능성이 있다고 밝혔다. 문서에는 천 씨가 타인과 대화하면서 모든 것을 망쳐버렸다고 고백하고 삶에 대한 절망감을 드러내며 "때론 정말 한 번에 끝내고 싶다. 살아가는 게 너무 힘들다"고 언급한 메시지 기록 스크린샷도 포함되어 있다.
이에 따라 원고는 도박으로 인한 부채가 천 씨의 자산 절도 동기일 가능성이 있다고 추측한다. 콜린 우(Colin Wu)에 따르면 천 씨는 이전에 거래소 기술직 직원들의 지식 공유 모범 사례로 알려져 있었다. 연봉이 백만 달러임에도 불구하고 계속해서 여러 사람에게 돈을 빌렸으며, 100배 레버리지 계약을 체결했고, 온라인 대출이 점점 늘어 결국 돌이킬 수 없는 길로 들어섰다는 것이다. 다만 천 씨의 실제 동기는 법원의 추가 조사를 통해 밝혀질 예정이다.
홍콩 법원, 3월 27일 청문회 개최 예정
이 사건의 향후 전개는 여러 차원에서 영향을 미칠 수 있다. 원고의 주요 목표는 유출된 자산을 동결하고 손실을 회수하는 것이다. 홍콩 법원은 이 사건을 접수했으며, 로크(Lok) 판사가 2025년 3월 27일 오전 9시 30분 청문회를 주재할 예정이며, 금지 명령 여부를 심사할 계획이다. 만약 천 씨 또는 기타 피고들이 출석하지 않을 경우 법원은 불출석 상태에서 판결을 내릴 수 있다.
블록체인의 투명성은 자산 추적이 가능하게 하지만, 해커가 믹싱 서비스(예: Tornado Cash)를 이용해 자금을 세탁할 경우 회수 난이도가 크게 증가한다. 이전에 인피니는 체인 상 메시지를 통해 해커에게 경고하고 일부 자금(약 4300만 달러)을 동결했다고 밝힌 바 있다. 그러나 나머지 자금이 규제되지 않는 주소로 이전될 경우 회수 가능성은 희박해진다.
또한 천 씨 본인의 처지도 주목받고 있는데, 홍콩과 싱가포르 법률 체계 하에서 형사 기소될 가능성이 있다. 만약 그의 도박 부채 문제가 사실이라면 경찰은 추가로 그의 자금 출처 및 기타 범죄 활동 연루 여부를 조사할 수도 있다. 일부 분석에서는 천 씨가 이미 구금된 상태라면 사건이 신속히 재판 단계로 진입할 수 있다고 지적한다.
요약
인피니의 이번 유출 사건은 고립된 사례가 아니다. 2025년 초 암호화폐 업계에서는 잇따라 보안 사고가 발생했는데, 예를 들어 2월 21일 바이비트(Bybit) 거래소의 14억 달러 해킹 사건도 있었으며, 이는 급속한 성장 속에서도 여전히 존재하는 보안 위험을 다시 한번 부각시키고 있다. 인피니는 2024년 출시 이후 혁신적인 스테이블코인 결제 서비스와 고수익 상품으로 많은 사용자를 끌어모았지만, 이번 사건은 내부 관리 및 기술 감사의 취약점을 노출했다.
블록체인 보안 전문가들은 만약 소송 내용이 사실이라면 천선쉬안의 행동은 전형적인 내부 공격에 해당하며, 인피니가 스마트 컨트랙트를 메인넷에 올리기 전 다중서명 지갑, 타임락(time lock) 메커니즘 또는 제3자 감사 등의 충분한 탈중앙화 보안 조치를 시행하지 않은 것이 사건의 주요 원인이라고 분석한다. 한 업계 관계자는 "이토록 중요한 권한을 새로 입사한 원격 근무 직원에게 맡기고도 엄격한 감독을 하지 않은 인피니 경영진의 책임이 크다"고 비판했다.
인피니 대 천 사건은 다시 한번 업계에 보안 경각심을 일깨운다. 블록체인 기술이 점점 금융 시스템에 깊숙이 자리잡고 있는 지금, 어떻게 권한 관리를 설정하고, 감사 및 상호 검증 절차를 마련하며, 계약의 광란을 일으킬 수 있는 자에게 핵심 권한을 부여하지 않고, 제로 트러스트 아키텍처 구축에 집중할 것인지 등은 창업자들이 반드시 직면해야 할 중요한 과제들이다.
소송이 진행됨에 따라 사건의 더 많은 세부 정보가 밝혀질 가능성이 있으며, 이를 통해 천 씨의 절도 뒤에 숨겨진 전체 진실이 드러날 전망이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Foresight News
