링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

블록체인 테크 사회

2.5GB 개인정보 유출… 나스닥 상장 피겨 테크놀로지, 블록체인 대출 플랫폼 ‘보안 시험대’

민태윤 기자

2026.02.14 (토) 22:21

블록체인 기반 대출·온체인 증권 플랫폼 피겨 테크놀로지가 사회공학 해킹으로 약 2.5GB 규모 고객 개인정보를 유출당해 신뢰·보안 리스크가 부각됐다고 전했다.

한편 암호화폐 피싱 피해액은 2024년 4억 9,400만달러에서 2025년 8,385만달러로 83% 줄었지만, 강세장·온체인 활동 재확대 시 위협이 다시 커질 수 있다는 분석이 나온다고 전했다.

2.5GB 개인정보 유출… 나스닥 상장 피겨 테크놀로지, 블록체인 대출 플랫폼 ‘보안 시험대’ / TokenPost.ai

블록체인 기반 대출 플랫폼 ‘피겨 테크놀로지(Figure Technology)’가 해킹 공격으로 고객 개인정보가 유출되는 사고를 겪었다. 공격자는 직원 한 명을 노린 사회공학(social engineering) 기법을 통해 내부 접근 권한을 탈취한 뒤, 회사를 상대로 한 몸값 요구가 거절되자 실제 고객 데이터를 다크웹에 공개한 것으로 알려졌다.

보도에 따르면, 피겨 테크놀로지는 이번 침해 사고로 ‘제한된 수의 파일’이 유출됐다고 외신 테크크런치(TechCrunch)에 밝혔다. 회사 측은 현재 영향받은 개인과 기관에 통지 절차를 진행 중이며, 통보를 받은 이들을 대상으로 신용 모니터링 서비스를 무상 제공하겠다고 약속했다. 다만 몇 명의 고객 정보가 유출됐는지, 침해 사실을 언제 어떤 경로로 처음 인지했는지 등 구체적인 범위와 시점은 공개하지 않았다.

해커 그룹 ‘샤이니헌터스’, 몸값 협상 결렬 후 고객 정보 유출

이번 공격은 그동안 여러 대형 데이터 유출 사건에 연루돼온 해킹 조직 ‘샤이니헌터스(ShinyHunters)’가 배후를 자처했다. 이들은 다크웹 유출 사이트에 피겨 테크놀로지로부터 탈취했다고 주장하는 약 2.5GB 분량의 데이터를 게시하며, 회사가 몸값 지급 요구를 거절했기 때문에 자료를 공개했다고 주장했다.

테크크런치는 샘플 데이터를 직접 열람한 결과, 유출 파일 안에 고객의 ‘이름, 자택 주소, 생년월일, 전화번호’ 등 민감한 개인정보가 포함돼 있었다고 전했다. 이 정도 정보 조합이면 신원 도용, 금융 사기, 표적 피싱 메일 발송 등 2차 피해로 이어질 가능성이 높다는 점에서 우려가 커지고 있다.

온체인 보안 업계에서는 이번 사건을, 블록체인 기반 인프라를 도입한 핀테크 기업이라 하더라도 ‘인간’을 노리는 사회공학 공격 앞에서는 여전히 취약할 수 있다는 경고 신호로 보고 있다. 특히 고객 식별 정보(KYC 데이터)를 보유한 업종 특성상, 한 번의 침해가 장기적인 피해로 이어질 소지가 크다는 점이 지적된다.

암호화폐 피싱 피해 줄었지만, 위협 양상은 ‘진화 중’

한편 암호화폐 업계 전반에서는 피싱과 지갑 탈취 공격이 단기간에 줄어든 양상을 보이고 있다. 웹3 보안업체 ‘스캠 스니퍼(Scam Sniffer)’ 자료에 따르면, 각종 지갑 드레이너(wallet drainer)와 연계된 암호화폐 피싱 공격 피해액은 2024년 약 4억 9,400만달러(약 7,135억 원)에서 2025년 8,385만달러(약 1,211억 원)로 83%나 감소했다. 피해자 수도 이더리움 가상머신(EVM) 기반 체인 전체에서 2024년에 비해 68% 줄어든 약 10만 6,000명 수준으로 떨어졌다.

다만 연구진은 이 같은 감소세가 곧 ‘위협의 종식’을 의미하지는 않는다고 강조한다. 실제로 피싱 공격에 따른 손실 규모는 시장 온체인 거래량과 밀접하게 움직였고, 2025년 이더리움(ETH) 강세장이 펼쳐졌던 3분기에는 단일 분기로만 약 3,100만달러(약 448억 원)의 피해가 발생했다. 2025년 월별 손실은 12월 약 204만달러(약 29억 원)에서 8월 약 1,217만달러(약 176억 원)까지 널뛰기를 보였다.

전문가들은 “가격이 오르고 온체인 활동이 활발해질 때 공격자들도 다시 움직인다”며, 공격 건수는 줄더라도 단일 공격 규모가 커지거나, 이번 피겨 테크놀로지 사례처럼 중앙화된 고객 데이터베이스를 노리는 쪽으로 전술이 바뀔 수 있다고 경고한다.

나스닥 상장 ‘피겨 테크놀로지’, 온체인 주식 플랫폼 키우는 와중에 악재

피겨 테크놀로지는 2025년 9월 나스닥(Nasdaq)에 상장한 블록체인 기반 핀테크 기업이다. 상장 당시 공모가는 주당 25달러(약 3만 6,120원)로, 기업은 약 7억 8,750만달러(약 1조 1,383억 원)를 조달했다. 공모가 기준 초기 기업가치는 약 53억~76억달러(약 7조 6,574억~11조 701억 원) 수준으로 평가됐다.

이 회사는 대출 등 금융 서비스를 자체 블록체인 ‘프로비넌스(Provenance)’ 위에 올리는 것으로 주목을 받아왔다. 특히 지난달에는 ‘온체인 퍼블릭 에쿼티 네트워크(OPEN)’라는 플랫폼을 출시해, 기업이 실제 주식을 블록체인 상에서 발행하고 투자자들끼리 중개사, 수탁기관, 전통 거래소 없이도 주식을 담보로 대출·대차할 수 있는 구조를 선보였다.

OPEN은 전통 자본시장과 온체인 금융을 잇는 실험 사례로 평가받았지만, 이번 데이터 유출은 규제 당국과 기관 투자자들이 가장 민감해하는 ‘신뢰’와 ‘보안’ 이슈를 정면으로 건드린 셈이 됐다. 개인정보 보호와 사이버 보안 체계에 대한 검증 요구가 한층 더 강화될 가능성이 크다.

개인정보 유출, 온체인 금융 신뢰도 시험대 올릴까

이번 피겨 테크놀로지 해킹 사건은 블록체인 기반 대출·증권화 플랫폼이 성장하는 과정에서, 여전히 ‘오프체인’에 남아 있는 고객 데이터와 인력 보안이 가장 취약한 고리라는 사실을 재확인시켰다. 탈중앙 기술을 앞세운 핀테크 스타트업이라도, 중앙화된 고객 정보 저장과 직원 인증 체계가 허술하면 전통 금융사와 다르지 않은 리스크에 노출될 수 있다는 의미다.

시장에서는 이번 사건이 피겨 테크놀로지뿐 아니라, 온체인 증권·실물 자산 토큰화(RWA)를 준비 중인 다른 프로젝트들에도 경고를 보내는 계기가 될 것으로 보고 있다. 개인정보 보호 규제가 강화되는 환경에서, ‘블록체인 기반 혁신’과 ‘데이터 보안·프라이버시’ 사이 균형을 어떻게 맞출지가 향후 온체인 금융의 신뢰도와 확산 속도를 좌우할 전망이다.

◆ "온체인 혁신도 사람 보안만큼 강하다"…이제는 투자자도 보안까지 공부해야 할 때

피겨 테크놀로지 사례는 우리에게 한 가지 사실을 상기시킨다. 아무리 정교한 블록체인 인프라를 깔아도, 직원 한 명의 계정이 털리면 모든 것이 무너질 수 있다는 것. 결국 투자자가 믿고 맡기는 건 ‘기술’만이 아니라, 그 기술을 설계·운영하는 사람과 시스템의 보안 역량이다.

온체인 자산, RWA, 디파이, 파생상품까지 복잡한 구조의 금융이 빠르게 확산되는 지금, 수익률만 쫓는 투자자와 구조·위험·보안을 함께 읽어내는 투자자의 성과 차이는 시간이 갈수록 벌어질 수밖에 없다.

토큰포스트 아카데미는 바로 이 지점에서, ‘수익’ 못지않게 ‘리스크 관리’와 ‘보안 사고 이해’를 중시하는 7단계 마스터클래스를 제공한다. 단순히 코인 고르는 법을 넘어, 중앙화·탈중앙화 인프라의 취약 지점과 온체인/오프체인 리스크까지 함께 배우는 커리큘럼이다.

1단계: The Foundation (기초와 진입) — 거래소·지갑 보안, 핫월렛 vs 콜드월렛, 메타마스크 사용법 등, 피싱·사회공학 공격에 당하지 않기 위한 필수 보안 상식을 다룬다. “어디에, 어떻게 보관해야 안전한가?”를 먼저 정리하는 단계다.

2단계: The Analyst (분석가) — 토크노믹스와 온체인 데이터를 해부해, 블록체인 프로젝트의 ‘실제 구조’를 평가하는 법을 배운다. 시가총액, 인플레이션, 락업 해제, 온체인 지표를 통해 “이 프로젝트의 리스크는 어디서 터질 수 있는가?”를 스스로 진단할 수 있게 해준다.

3단계: The Strategist (포트폴리오 전략) — 인플레이션, 변동성, 시장 사이클 속에서 포트폴리오를 어떻게 방어·조정해야 하는지 배우는 구간이다. 단일 사고나 블랙스완에 계좌가 붕괴되지 않도록, 현금 비중·레버리지·리스크 관리 원칙을 체계화한다.

4단계: The Trader (트레이더) — 기술적 분석과 실전 매매를 통해 단기 변동성에서도 흔들리지 않는 매수·매도 원칙을 쌓는다. 피싱·해킹 뉴스 하나에 공포 매도, FOMO 매수를 반복하는 ‘감정 매매’에서 벗어나는 훈련이다.

5단계: The DeFi User (디파이 활용) — 스테이킹, 렌딩, 유동성 공급, 비영구적 손실, LTV·청산 구조 등 온체인 금융의 수익·리스크 구조를 깊이 파고든다. 단순히 “수익률이 높다”가 아니라 “수익이 어디서 나오고, 어느 지점에서 터지는가”를 이해하는 눈을 기른다.

6단계: The Professional (선물·옵션) — 하락장에서도 포트폴리오를 방어하거나, 필요할 때 헤지 전략을 구사하는 고급 파생상품 강의다. 레버리지 위험, 청산 구조, 옵션을 활용한 보험·커버드콜 전략까지, ‘위험을 알고 쓰는’ 프로페셔널의 언어를 배운다.

7단계: The Macro Master (거시·사이클) — 규제, 거시 유동성, 온체인 활동, 해킹·보안 사고 같은 이벤트가 시장 사이클과 자산 가격에 어떻게 반영되는지 복기(case study)하는 단계다. 피겨 테크놀로지와 같은 사건을 “단순 악재 뉴스”가 아닌 “구조적 리스크 신호”로 해석하는 프레임을 제공한다.

온체인 금융이 전통 금융과 맞붙는 시대, 진짜 경쟁력은 “얼마나 많이 버는가?”가 아니라 “위험을 얼마나 깊이 이해하고 관리하는가?”에서 갈립니다.

지금 바로 토큰포스트 아카데미에서, 보안·리스크·수익 구조를 모두 읽어내는 상위 1% 크립토 투자자로 업그레이드해 보세요.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초 보안부터 온체인 분석, 디파이·선물옵션, 매크로 사이클까지 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

Figure Technology는 나스닥 상장 블록체인 대출 기업이자, 최근 온체인 주식 발행 플랫폼(OPEN)을 선보이며 전통 금융과 크립토를 잇는 대표적인 플레이어입니다. 이런 상장 핀테크 기업에서 대규모 개인정보 유출이 발생했다는 점은, 규제 당국과 기관 투자자들에게 ‘블록체인 기업 보안 리스크’를 재조명시키는 계기가 될 수 있습니다.

이번 유출 데이터는 트랜잭션 키나 온체인 자산보다 KYC 성격의 신상 정보에 집중되어 있어, 직접적인 온체인 해킹보다는 2차 피싱·신원 도용 리스크를 키우는 방향으로 시장에 영향을 줄 가능성이 큽니다. 동시에 2025년 피싱 피해액이 크게 줄었다는 통계와 함께, 보안 투자가 이뤄진 프로젝트와 그렇지 않은 프로젝트의 격차가 더 벌어질 수 있음을 보여줍니다.

💡 전략 포인트

1) Figure·동종사 이용자: 유출 가능성이 있는 서비스에 가입했다면, 동일한 비밀번호를 쓰는 거래소·지갑·은행 계정을 즉시 변경하고, 신용정보 모니터링(신용조회 차단, 이상 결제 알림)을 활성화해야 합니다.

2) 투자자 관점: 개인정보 유출은 단기적으로 규제·소송 리스크(컴플라이언스 비용 증가, 집단소송 등)로 이어질 수 있어 기업 가치에 부담이 될 수 있습니다. 다만 대응 수준(투명한 공시, 보안 강화, 재발 방지책)에 따라 평판 회복 여부가 갈릴 수 있습니다.

3) 빌더·프로젝트: 기술 스택(블록체인)보다 운영 보안(직원 교육, 접근 통제, 내부권한 관리)이 약한 지점이 실제 공격 벡터가 됐다는 점에 주목해야 합니다. 소셜 엔지니어링 대응 교육, 멀티팩터 인증, 최소 권한 원칙, 정기 침해사고 대응 훈련 등을 제품 개발 초기 단계부터 설계에 포함시키는 것이 중요합니다.

4) 사용자 실무 팁: 앞으로 피싱 메일·문자가 실제 이름·주소·생년월일을 포함해 ‘진짜 같게’ 보이는 사례가 증가할 수 있습니다. 금융·크립토 관련 메시지는 항상 공식 앱/웹에 직접 접속해 확인하고, 링크 클릭·파일 다운로드 전에 URL과 발신자 도메인을 반드시 검증해야 합니다.

📘 용어정리

• 소셜 엔지니어링(Social Engineering): 기술적 취약점이 아니라 사람의 심리를 노려, 사칭·협박·설득 등을 통해 비밀번호·OTP·접근 권한을 빼내는 공격 기법입니다. 피싱 메일, ‘보안 담당자 사칭’ 전화 등이 대표적입니다.

• 피싱(Phishing): 은행·거래소·공공기관 등을 사칭한 이메일·문자·메신저로 사용자에게 악성 링크를 누르게 하거나, 로그인 정보를 입력하도록 유도해 자산이나 개인정보를 탈취하는 공격 방식입니다.

• 신분 도용(Identity Theft): 이름, 주소, 생년월일, 주민번호/사회보장번호 등 개인 정보를 이용해 다른 사람인 것처럼 금융계좌를 만들거나, 대출을 받는 등 범죄에 악용하는 행위입니다.

• 온체인 주식(On-chain Public Equity): 실제 법적 효력이 있는 주식을 블록체인 상에서 토큰 형태로 발행·보관·거래하는 것을 의미합니다. Figure의 OPEN 플랫폼은 이런 온체인 주식을 중개인·수탁기관 없이 투자자끼리 직접 대출·담보 제공에 활용할 수 있게 합니다.

• DePIN(탈중앙 물리 인프라 네트워크): 실제 세계의 기계·센서·통신망·에너지 설비 같은 물리 인프라를 블록체인과 토큰 인센티브로 운영·소유·거래하는 모델입니다. 기사 말미에 소개된 Byte-Sized Insight 에피소드에서 2025~2026년 주목해야 할 키워드로 언급됩니다.

">💡 자주 묻는 질문 (FAQ)

이번 Figure Technology 개인정보 유출 사건, 사용자 입장에서는 당장 무엇을 해야 하나요?

Figure로부터 유출 통지서를 받은 경우, 먼저 이메일·문자 속 링크는 누르지 말고 공식 홈페이지나 앱을 직접 열어 안내 내용을 확인해야 합니다. 계정에 설정한 비밀번호가 다른 거래소·지갑·은행 계정과 같다면 모두 다른 강력한 비밀번호로 변경하고, 가능하면 OTP·U2F 키 같은 2단계 인증을 켜세요. 또한 신용카드·대출 등 금융내역에 이상 거래가 없는지 주기적으로 확인하고, 신용정보 모니터링·신용조회 차단 서비스 가입을 고려하는 것이 좋습니다.

이번 해킹이 제 암호화폐나 지갑까지 바로 털리는 문제인가요?

현재까지 알려진 내용으로는 Figure 시스템에서 고객의 이름, 주소, 생년월일, 전화번호 등이 유출된 것으로 보이며, 개인 지갑의 프라이빗 키나 거래소 로그인 정보가 직접 탈취됐다는 내용은 없습니다. 다만 이런 신상 정보가 있으면 해커들이 실제 이름과 주소를 포함한 정교한 피싱 메일·문자를 보내 당신의 지갑 시드문구나 거래소 비밀번호를 빼내려 할 수 있습니다. 따라서 지갑 시드문구·프라이빗 키는 절대 온라인에 입력하지 말고, 고객센터나 ‘보안팀’을 사칭해 요구하는 경우는 100% 사기라고 생각해야 합니다.

Figure 같은 블록체인·핀테크 기업은 앞으로 어떻게 보안을 강화해야 하나요?

이번 사건은 최첨단 블록체인 기술을 쓰더라도, 직원 계정·내부 접근 관리가 허술하면 언제든 뚫릴 수 있다는 점을 보여줍니다. 그래서 기업은 ① 모든 중요 계정에 강제 MFA(다중 인증) 적용, ② 최소 권한 원칙으로 직원별 접근 범위 제한, ③ 정기적인 피싱 모의훈련과 보안 교육, ④ 외부 보안업체의 침투 테스트·코드 감사, ⑤ 침해사고 대응 매뉴얼과 즉각적인 공지 체계를 갖추는 것이 필수입니다. 특히 고객 KYC 데이터는 암호화·분산 저장을 통해, 설령 일부 시스템이 뚫려도 전체 데이터가 한 번에 노출되지 않도록 설계해야 합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

언제 사고팔아야 할지 망설이다가 타이밍을 놓치시나요?
토큰포스트 AI가 분석한 실시간 호재/악재 신호로 확실한 투자의 방향을 잡아보세요.

토큰포스트 멤버십 가입 →

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

광고문의 기사제보 보도자료

#피겨테크놀로지 #샤이니헌터스 #개인정보유출 #블록체인대출 #온체인금융 #웹3보안 #피싱감소