암호화 양적거래 도구 CCXT, '코드 수수료 할당' 스캔들에 휘말려… 무료 서비스 뒤에 감춰진 수수료 할당 비즈니스
글: Frank, PANews
최근 암호화폐 분야에서 가장 저명한 오픈소스 양자화 거래 라이브러리인 CCXT의 핵심 코드에 숨겨진 비밀이 드러났다. 하드코딩된 리베이트 ID를 통해 이 소프트웨어는 사용자의 몰락 아래 거래소 수수료 리베이트 수익을 몰래 획득하고 있었던 것이다.
이 폭로는 마치 호수에 돌을 던진 것과 같았으며, 단지 오픈소스 광환 아래 또 다른 은밀한 비즈니스 모델을 드러낸 것뿐만 아니라, 그들의 '무료' 편의성에 의존해온 무수한 개발자와 트레이딩 팀에게도 신뢰의 기반 아래 이미 막대한 대가가 감춰져 있을 수 있음을 깨닫게 했다.
Github에서 3.6만 이상의 스타를 받은 가장 보편적인 암호화폐 오픈소스 코드
CCXT(CryptoCurrency eXchange Trading Library)는 암호화폐 거래 분야에서 널리 인기 있는 오픈소스 소프트웨어 라이브러리로, 주요 기능은 개발자, 트레이더 및 금융 분석가들에게 전 세계 다양한 암호화폐 거래소에 접속하고 운영할 수 있는 통합 인터페이스를 제공하는 것이다. CCXT 프로젝트는 러시아 개발자 Igor Kroitor가 시작했으며, 최초로 거슬러 올라가면 2016년까지 가능하며, 이 라이브러리는 JavaScript, Python, PHP, C#, Go 등 여러 프로그래밍 언어를 지원하여 다양한 개발 환경에서의 적용성과 채택도를 크게 확장했다.
CCXT 오픈소스 도구를 배포함으로써 사용자는 시장 분석, 지표 개발, 알고리즘 거래, 전략 백테스트 및 주문 실행 등 암호화폐 거래 관련 다양한 기능 개발이 가능하다. 말하자면 CCXT는 간소화되고 무료인 Tradingview과 같다. 현재까지 CCXT는 바이낸스, OKX, Coinbase, Bybit, Bitget 등을 포함한 100개 이상의 암호화폐 거래소를 지원하며, 거의 모든 주요 거래소를 직접 연결하는 방식으로 CCXT를 통해 거래 수요를 충족시킬 수 있다.
이러한 편리한 오픈소스 방식 덕분에 CCXT는 양자화 거래, 전략 거래 등의 전문 트레이딩 팀 사이에서 가장 보편적으로 쓰이는 도구가 되었다. Github에서 CCXT는 3.6만 개 이상의 스타를 보유하고 있으며, 금융 분야의 유명한 오픈소스 프로젝트 QuantLib보다도 더 많다. 보안 회사 JFrog의 2025년 보고서에 따르면, CCXT는 파이썬 공식 패키지 관리자 PyPI에서 누적 다운로드 수가 9300만 회를 넘었으며, 이렇게 방대한 다운로드 수는 전 세계 수천 명의 양자화 거래자들과 개발 팀들이 CCXT를 사용하고 있음을 반영한다. 2024년 CCXT는 Github에서 28위를 차지했으며, 2024년 가장 인기 있는 파이썬 프로젝트에도 선정되었다.
은밀한 리베이트 메커니즘, 하드코딩된 Broker ID, 천만 달러 규모의 은밀한 수익 가능성
그러나 찬사를 받는 이면에서 CCXT는 알려지지 않은 사업 모델을 가지고 있었다.
5월 27일, @sunlc_crypto 블로거는 소셜 미디어를 통해 CCXT 프레임워크를 사용하면서 리베이트 수수료에 큰 이상이 발견되었으며, 이후 CCXT의 여러 거래소 소스코드에서 CCXT가 자신의 broker id를 삽입한 것을 발견했다. 즉, 이들 거래소의 리베이트 계정을 사전 설정하여, 사용자가 이를 알지 못하고 수정하지 않는 한 대부분의 리베이트 수수료를 빼앗기게 되는 구조였다. CCXT 사용자는 hyperliquid, Kucoin, Bybit 등 세 거래소에서 두 달 동안 약 1만 5천 달러의 리베이트 수수료를 빼앗겼다고 주장했다. 이를 추정하면 CCXT는 이러한 방식으로 수천만 달러에서 수억 달러 이상의 리베이트 수익을 벌어들였을 가능성이 있다.
PANews가 CCXT의 오픈소스 코드를 확인한 결과, OKX, KuCoin, Hyperliquid, Bitget, Binance 등 다수의 거래소 Python 어댑터에 실제로 기본 brokerId가 포함되어 있었다.
종합적으로 보면 CCXT는 실제로 여러 주요 거래소 어댑터에 기본 brokerId 매개변수를 사전 설정해두었으며, 대부분의 매개변수는 하드코딩 형태로 존재한다. 사용자가 CCXT를 직접 사용해 주문하면서 관련 옵션을 명확히 설정하거나 수정하지 않으면, 이러한 기본 broker ID가 요청과 함께 전송되어 잠재적인 수수료 리베이트를 CCXT가 제공한 계정으로 귀속시킨다. 그러나 CCXT의 공식 설명에서는 이를 두드러지게 설명하지 않았다.
이런 방식으로 CCXT 팀이 정확히 얼마나 많은 수익을 얻었는지는 여전히 알려지지 않았다. 대부분의 중앙화 거래소이기 때문이다. PANews는 Hyperliquid 소스코드에서 리베이트 주소를 찾으려 했지만, 구체적인 주소가 코드 상에 명시적으로 작성되지 않고 내부 인터페이스 방식으로 처리되어 있어 가장 직접적인 증거를 찾을 수 없었다.
'유료'에서 '무료'로, '선택적 추천'에서 '숨겨진 하드코딩'으로의 비즈니스 전략
CCXT의 개발 역사를 살펴본 PANews는 이러한 조작이 최초로 2018년에 시작되었을 가능성을 발견했다. 초기 CCXT에는 월 29달러부터 시작하는 Pro 버전 구독 서비스가 있었다. 이후 CCXT는 완전히 무료로 전환되었으며, 2018년 한 사용자가 Github에서 CCXT를 지원하기 위해 선택 가능한 추천 ID를 추가할 것을 제안했고, 주요 유지보수자 kroitor는 이를 환영하며 업데이트에 해당 코드를 추가했다. 그러나 제안자의 의견을 보면, 이 제안은 주로 추천 등록 보상에 관한 것이었으며, 선택 가능한 옵션을 제공하여 사용자가 CCXT를 입력하거나 입력하지 않을 수 있도록 하는 것이었다.
그러나 이것이 CCXT의 수익 창출의 시발점이 된 것으로 보이며, 이후 주요 유지보수자가 대부분의 주요 거래소 코드에 이러한 로직을 추가했고, 작성 방식이 은밀하여 대부분의 사용자가 이를 발견하기 어렵게 만들었다. 현재까지 @sunlc_crypto가 고발자로 나서 문제를 제기한 외에는 인터넷상에서 이 코드 설계에 대한 논의는 거의 없다.
물론 CCXT는 이러한 현상이 언젠가 드러날 것을 이미 예상한 듯하며, CCXT의 면책 조항에는 "API 에이전트란 CCXT의 자금이 거래소의 API 에이전트 프로그램 리베이트에서 나오며, 그것은 많은 거래소의 공식 API 에이전트이다"라는 문구가 있다. 사실상 이러한 수익 방식을 사용자에게 은근히 알리는 셈이다.
@sunlc_crypto가 커뮤니티에 이 문제를 제기한 후 많은 사용자의 지지를 받았다. 그러나 댓글란에는 많은 의문도 나타났다. 일부는 실력 있는 양자화 트레이더라면 이런 수수료 리베이트를 신경 쓰지 않아야 한다고 비판했다. 또 다른 사람들은 오픈소스 코드이므로 사용 시 이러한 설정을 발견하지 못하고 수정하지 않은 것은 본인의 책임이며, CCXT에 문제가 없다고 주장했다. 그러나 CCXT의 광범위한 채택 현황과 높은 평판을 종합적으로 고려하면, 이러한 은밀한 코딩 '속임수'는 커뮤니티의 신뢰를 위반한 것이다.
이 사건이 폭로된 후 PANews는 CCXT 코드가 여전히 매일 업데이트되고 있음을 확인했지만, 5월 29일까지 커뮤니티가 제기한 은밀한 하드코딩 brokerId 코드에 대해 수정하지 않았다. CCXT 공식 채널도 소셜 미디어나 Github에서 이 사건에 대해 어떠한 답변도 하지 않았다.
물론 일부 오픈소스 프로젝트에 백도어를 숨겨 사용자의 원금 안전을 직접 위협하는 경우와 비교하면, CCXT의 기본 리베이트 수취는 버그라고도 할 수 없으며, 개발자가 설계상의 '속임수'라고 볼 수 있다. 그러나 이러한 사소해 보이는 속임수가 다른 명시적인 구독 요금보다 더 많은 수익을 가져올 수도 있다. 사용자 입장에서, 현재 AI 프로그래밍 도구가 점점 강력해지면서, 이러한 '악의적' 설계를 신속하게 탐지할 수 있을 뿐 아니라 완전히 독립적인 거래 코드를 처음부터 설계하는 것도 가능하다. 반면, 이름난 '무료' 오픈소스 라이브러리를 지나치게 신뢰하는 것은 일반 구독료보다 더 높은 비용을 지불하게 될 수도 있다. 거래 리베이트 권리를 보호하고자 한다면, 유사한 코드 라이브러리를 사용하기 전 초기화 매개변수 작업을 수행해야 한다.
이 사건은 궁극적으로 모든 사용자에게 경종을 울렸다. 암호화폐라는 경쟁이 치열한 분야에서 어떤 '공짜 식사'라도 반드시 필요한 검토와 경계를 가져야 하며, 모든 '신뢰' 코드를 하나하나 꼼꼼히 점검하는 것이 자신을 보호하는 가장 기초적이며 중요한 방어선이다. 때로는 가장 비싼 비용이 바로 '무료'라는 표면 아래에 숨어 있기 때문이다. 신뢰는 결국 이처럼 쉽게 이윤으로 코딩되어서는 안 된다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
PANews
