스테이블코인, 해킹 넘어 제재 회피 인프라로 진화…서틱, A7A5 리스크 경고

글로벌 스테이블코인 시장이 핵심 금융 인프라로 부상한 가운데, 관련 보안 위협도 기술적 해킹을 넘어 제재 회피와 병행 금융망 구축으로 확대되고 있다는 진단이 나왔다. CertiK는 최근 보고서를 통해 크로스체인 브리지와 커스터디, 결제 API 등 스테이블코인 인프라 전반이 새로운 공격 표면으로 부상했으며, 러시아 루블화 연동 스테이블코인 A7A5는 국가 주도의 제재 우회 구조를 가장 선명하게 보여주는 사례라고 분석했다.

보고서에 따르면 지난 18~24개월 동안 스테이블코인을 둘러싼 위협은 단순한 스마트컨트랙트 취약점 악용에서 상호 연결된 금융 인프라 공격으로 빠르게 이동했다. 특히 브리지와 상호운용성 프로토콜은 가장 가치가 높은 표적으로 지목됐다. 2026년 현재까지 크로스체인 브리지 관련 보안 사고 피해액은 3억2800만 달러를 웃돌았고, 4월 발생한 Kelp DAO 지갑 탈취 사건만으로 2억9130만 달러의 손실이 발생했다. 이는 공격자들의 초점이 온체인 로직보다 운영 보안, 지갑 통제, 커스터디 체계로 옮겨가고 있음을 시사한다.

스테이블코인 인프라가 전통 금융과 긴밀히 결합하면서 공격 범위도 더 넓어졌다. 컴플라이언스 인프라, KYC 제공업체, 결제 연동 API, 제재 심사 시스템까지 표적이 되고 있다는 점이 대표적이다. 보고서는 이러한 양상이 초기 암호화폐 시장의 기술 취약점 중심 공격과 달리, 전통 금융 범죄와 유사한 방식으로 전개되고 있다고 짚었다. 대출 프로토콜, 유동성 풀, 파생상품, 자동화 마켓메이커에 깊숙이 편입된 스테이블코인의 특성상 하나의 취약점이 다른 프로토콜로 연쇄 전이될 가능성도 커졌다는 평가다.

또 다른 핵심 축은 결제 특화 체인과 스테이블코인 전용 체인의 부상이다. 빠른 처리와 낮은 수수료를 앞세운 이들 네트워크는 종종 보안성과 탈중앙화보다 효율성을 우선한다. 그 결과 ‘검증자 집중화’, 중앙화된 시퀀서, 상대적으로 약한 합의 구조가 구조적 취약점으로 남는다. CertiK 리서치는 스테이블코인이 인터넷 규모의 금융 인프라로 발전할수록 공격 역시 글로벌 결제망과 핵심 금융시스템을 겨냥하는 형태로 진화한다고 진단했다.

보고서가 특히 주목한 사례는 A7A5다. A7A5는 2025년 1월 러시아의 국경 간 결제 기업 A7 LLC를 대신해 키르기스스탄 소재 Old Vector LLC가 발행한 루블화 연동 스테이블코인이다. A7 LLC는 제재 대상 인물 일란 쇼르와 러시아 국영 방산 금융기관 프로므스뱌즈방크(PSB)가 공동 소유하고 있다. A7A5는 출시 1년도 되지 않아 누적 온체인 거래 규모 1100억 달러를 넘겼고, 글로벌 비달러 스테이블코인 시장의 약 43%를 차지했다. 러시아 거래소 Garantex 폐쇄 이후 재편된 Grinex를 중심으로 러시아 암호화폐 결제망의 핵심 자산으로 자리 잡았다는 설명이다.

A7A5의 문제는 단순한 규모가 아니라 구조에 있다. 발행사 Old Vector LLC, 담보 은행 PSB, 거래 플랫폼 Tokeon 모두 미국, 영국, 유럽연합(EU)의 제재 대상과 중첩되며, 독립적인 준비금 검증 체계도 확인되지 않았다. A7A5는 이더리움과 트론(TRON) 네트워크에서 유통되며, 전체 공급량의 약 99%가 트론에 집중돼 있다. 기술 구조는 테더(USDT)와 유사해 블랙리스트 추가, 자금 소각, 발행·환수, 전송 중단, 리베이스 기반 이자 분배 기능을 갖췄다. 다시 말해 중앙화 스테이블코인의 핵심 운영 메커니즘을 거의 그대로 복제하면서도 서방 집행권 밖에서 통제되도록 설계된 셈이다.

실제 활용도도 분명하다. A7A5는 러시아 기업의 국경 간 결제 수단, Garantex와 Grinex를 잇는 유동성 브리지, 수익 창출형 결제 자산, 그리고 간접적 자금세탁 노출 통로로 기능하고 있다. 보고서는 Garantex가 랜섬웨어 조직 콘티, 블랙 바스타, 록빗의 자금세탁 채널로 쓰였고, 2023년 호라이즌 브리지 해킹 자금 3000만 달러 이상을 포함한 북한 연계 자금 흐름과도 연결됐다고 지적했다. 공개적으로 A7A5 자체가 직접 범죄 자금의 발행 수단이었다는 증거는 없지만, 동일한 유동성 네트워크와 거래 플랫폼을 공유한다는 점에서 AML 리스크는 상당하다는 평가다.

온체인 데이터도 이러한 분석을 뒷받침한다. 트론 기반 A7A5는 2025년 12월 25일 하루 약 17억 달러 상당의 토큰 이동을 기록했고, 2026년 5월 14일에도 1027억여 개 토큰이 전송됐다. 이는 각각 EU 제재 패키지 발효 전후 시점과 맞물린다. 다만 더 주목할 대목은 보유자 수다. 2025년 2월 약 1만3000명이던 보유자 수는 2026년 5월 약 2만9000명으로 늘었고, 제재 시점마다 뚜렷한 감소나 변곡점은 나타나지 않았다. 리베이스 수익 구조와 비서구권 중심의 고정 수요가 서방 제재 압력을 상당 부분 무력화한 것으로 해석된다.

국제사회의 대응도 이전과는 다른 수준으로 전개됐다. 미국 해외자산통제국(OFAC)은 2025년 8월 Old Vector LLC와 Grinex, A7 네트워크 핵심 관계자들을 제재했고, 영국도 관련 법인과 개인을 제재 명단에 올렸다. EU는 한발 더 나아가 제19차 제재 패키지에서 A7A5를 거래 금지 대상으로 직접 명시한 첫 암호화폐로 지정했고, 제20차 패키지에서는 러시아 소재 가상자산 서비스 제공업체 전반으로 제재 범위를 확장했다. 탈중앙화 거래소 유니스왑(Uniswap)도 2025년 11월 프론트엔드에서 A7A5와 래핑 버전 wA7A5를 차단했다. 그럼에도 네트워크 자체는 해체되지 않았고, 확산 억제 수준에 머물렀다는 것이 보고서의 결론이다.

특히 아프리카 진출은 새로운 ‘규제 사각지대’로 꼽힌다. 러시아는 A7 결제 네트워크를 아프리카 국가들에 적극 제안하고 있으며, 나이지리아와 짐바브웨에는 이미 사무소를 설립한 것으로 전해졌다. 향후 토고와 마다가스카르 등으로의 확대 가능성도 거론된다. 문제는 이들 국가 금융기관 상당수가 여전히 미국과 유럽 금융기관과 환거래 관계를 유지하고 있다는 점이다. 지역 은행들이 A7 연계 법인과 자금 거래를 처리할 경우 잠재적 2차 제재 위험에 노출될 수 있지만, 현재까지 OFAC나 영국 재무부, EU가 아프리카 규제기관과 공식 협의를 진행한 사례는 확인되지 않았다.

보고서는 스테이블코인 보안이 이제 두 갈래 리스크를 동시에 관리해야 하는 단계에 들어섰다고 강조했다. 하나는 브리지, 커스터디, 결제 API, 정산 계층을 겨냥하는 인프라 공격이고, 다른 하나는 제재 대상 세력이 스테이블코인 구조 자체를 전략적 수단으로 무기화하는 현상이다. 이에 따라 컴플라이언스 및 리스크 관리팀에는 루블화 연동 스테이블코인의 고위험 분류, 리브랜딩된 제재 인프라 추적, A7A5 스마트컨트랙트 주소의 선제적 감시, 종이 어음 기반 하이브리드 거래 구조 조사, 브리지와 상호운용성 계층에 대한 정기적 제3자 보안 감사, 지갑 탈취를 운영 리스크로 보는 관점 전환이 필요하다고 제언했다.

결국 스테이블코인 시장은 성장과 함께 ‘양면성’이 극단적으로 커지고 있다. 국경 간 결제와 디지털 금융 혁신의 중심축으로 자리 잡는 동시에, 해킹과 제재 회피, 자금세탁 리스크가 응축된 전략 자산이 되고 있어서다. CertiK는 스테이블코인이 더 이상 단순한 거래용 토큰이 아니라 글로벌 금융 인프라의 일부가 된 만큼, 보안과 규제 대응 역시 개별 프로토콜이 아닌 상호 연결된 시스템 전체를 겨냥해 재설계돼야 한다고 강조했다.