보안 연구자들에 따르면 Cosmos 기반 크로스체인 브릿지 Gravity Bridge가 개인키 유출로 추정되는 방식으로 약 540만 달러를 도난당했다. The Block 보도에 따르면, 공격자는 USDC, ETH, Tether(USDT), PAYG 토큰을 탈취했으며 이 중 일부는 이미 ChangeNow와 Binance를 통해 세탁했다. 연구자들은 이를 스마트 컨트랙트 로직 취약점이 아닌 “키 유출” 유형 사건으로 분류했다. 즉 문제는 컨트랙트 코드가 뚫린 것이 아니라 브릿지 자산을 통제하는 키 자체에 있었다는 뜻이다.
USDT 카드 이용자에게: 잔액은 안전하지만 이동 경로는 주시해야
먼저 결론부터 말하면, MPCard 같은 커스터디형 U카드 계정이나 Bybit Card와 연동된 거래소 계정에 USDT를 보관하고 있다면 이번 사건은 잔액에 직접적인 영향을 주지 않는다. Gravity Bridge는 Cosmos 생태계와 이더리움을 연결하는 자산 브릿지이며, 도난당한 것은 브릿지 컨트랙트에 잠긴 유동성 자산이지 특정 카드 이용자의 개인 지갑이 아니다.
다만 U카드 이용자가 기억해둘 만한 간접적인 신호가 두 가지 있다.
- 충전 경로 리스크: 많은 이용자가 U카드에 충전할 때 먼저 자산을 저렴한 네트워크로 브릿지한 뒤 이체하는 습관이 있다. Gravity Bridge를 포함한 소규모 크로스체인 브릿지를 이용해 USDT를 이동시킨 적이 있다면, 이번 사건은 자금을 브릿지의 중간 상태에 오래 두는 것이 고위험 행위임을 상기시킨다. 충전 전후로는 가급적 메인넷 또는 거래소 내부 이체를 이용하는 것이 좋다.
- 거래소 자금세탁 연관 리스크: 공격자가 Binance Card와 같은 계열인 Binance 본사를 통해 자금을 세탁했다는 것은, 오염된 이 USDT가 거래소의 컴플라이언스 심사 명단에 오를 수 있다는 의미다. 단기적으로는 출처가 불분명한 고액 USDT 입금이 리스크 관리 재심사를 촉발하기 쉬워진다.
7일 이내: 거래소는 대개 추적 가능한 도난 주소를 동결하며, 일반 이용자의 입출금에는 사실상 영향이 없다. 30일 이내: 관련 주소 클러스터에 대한 온체인 태깅이 확산될 수 있다. 90일 이내: 자산이 이미 세탁되어 정상 유통망에 진입했다면 영향은 대체로 사라진다. 단, 규제 당국이 개입해 거래소에 추적을 요구하는 경우는 예외다. 커스터디형 U카드가 입금 리스크 관리를 어떻게 처리하는지 궁금하다면 MPCard 리뷰를 먼저 읽어보길 권한다.
과거 사례 비교: 2022년 크로스체인 브릿지의 해와 어디가 비슷하고 어디가 다른가
크로스체인 브릿지 해킹은 새로운 일이 아니다. 2022년 Ronin 브릿지(6억 2,500만 달러), Wormhole(3억 2,000만 달러), Nomad(1억 9,000만 달러) 3대 사건은 “브릿지가 DeFi의 최대 단일 취약점”이라는 것을 업계 상식으로 만들었다. 이번 Gravity Bridge 사건은 540만 달러 규모로 훨씬 작지만, 성격은 Ronin과 매우 유사하다. 컨트랙트 로직이 우회된 것이 아니라 개인키/검증자 키가 장악당한 것이다.
공통점: 공격 대상은 모두 “누가 브릿지의 멀티시그/검증 키를 쥐고 있는가”라는 거버넌스 취약점이며, 코드 감사로는 키 관리 문제를 막을 수 없다.
차이점: 2022년의 공격들은 크로스체인 브릿지 TVL이 정점이던 시기, 규제가 거의 부재한 환경에서 발생했다. 2026년 현재는 주요 거래소들이 이미 성숙한 온체인 분석 컴플라이언스 프로세스를 구축해, 공격자가 USDT를 Binance로 세탁할 수 있는 창구가 3년 전보다 훨씬 좁아졌다. Tether 자체도 관련 주소를 동결할 수 있는 권한을 보유하고 있으며, 과거 동결 기록은 Tether 투명성 페이지에서 확인할 수 있다. 이것이 바로 “도난 후 회수 가능 여부”에서 USDT와 탈중앙화 스테이블코인 간의 핵심적인 차이다.
컴플라이언스 관점: 브릿지는 어느 국가의 규제도 받지 않지만, 출금 창구는 규제를 받는다
크로스체인 브릿지 자체는 명확한 법적 회색지대에 있다. 주체가 없고, 라이선스를 신청하지 않으며, 단일 관할권의 직접 규제를 받지 않는다. 실제로 규제 대상이 되는 것은 출금 창구인 거래소와 발급사다. 도난당한 USDT가 라이선스를 보유한 거래소로 유입되는 순간, AML/CTF 규정이 발동된다.
규제 관할권에서 카드를 사용하는 독자라면 현지 프레임워크를 참고해 리스크 관리 로직을 이해하길 권한다. EU 이용자는 EU MiCA 컴플라이언스 가이드, 홍콩 이용자는 홍콩 컴플라이언스 가이드, 싱가포르 이용자는 싱가포르 컴플라이언스 가이드를 참고할 수 있다. 핵심 경계선은 다음과 같다: 정상적인 출처의 USDT를 보유하고 사용하는 것은 완전히 합법이지만, 도난 주소로 추적되는 자산을 수령하면 동결 및 재심사 대상이 될 수 있다. 이 원칙은 모든 라이선스 관할권에서 동일하게 적용된다.
앞으로 주시할 만한 몇 가지 포인트
- 도난 주소가 Tether에 의해 동결되는지 여부: Tether가 관련 USDT 주소에 동결 조치를 취하는지 확인해야 한다. 이는 대개 사건 발생 후 며칠 내에 이뤄진다.
- Binance / ChangeNow의 공식 대응: 거래소가 관련 입금을 동결하고 추적에 협조하는지 여부.
- Gravity Bridge 팀의 사후 보고서: 키 유출 경로가 확인되는지, 브릿지 내 유동성 공급자에 대한 보상 계획이 있는지.
- Cosmos 생태계 전반의 브릿지 점검 촉발 여부: 이런 사건은 종종 동일 생태계 내 다른 브릿지에 대한 긴급 보안 재점검으로 이어진다.
편집 제언
- MPCard, Bybit Card 등 커스터디형 U카드를 보유하고 자산이 카드 계정 내에 있는 이용자: 별도 조치가 필요 없다. 잔액은 이번 사건과 무관하다.
- 소규모 크로스체인 브릿지로 USDT를 옮긴 뒤 충전하는 습관이 있는 이용자: Gravity Bridge 및 동일 생태계 내 미감사 브릿지 사용을 당분간 자제하고, 충전 시 메인넷 또는 거래소 내부 이체를 우선 이용해 자금이 브릿지 중간 상태에 머무는 것을 피해야 한다.
- 최근 고액 USDT 입금을 계획 중인 이용자: 자금 출처를 명확히 하고, 출처를 설명할 수 없는 이체를 수령하지 않도록 해 리스크 관리 재심사를 피해야 한다.
- 입금 리스크 관리가 투명하고 경로가 단순한 U카드를 고르고 싶다면 2026 U카드 Top 5와 수수료가 가장 낮은 U카드를 비교한 뒤, MPCard 리뷰로 돌아가 구체적인 충전 경로 설명을 확인해보길 권한다.
크로스체인 브릿지 사고가 주는 진짜 교훈은 “USDT는 안전하지 않다”가 아니라 “USDT가 어느 경로에 머무는 것이 가장 위험한가”이다. 리스크 관리 규칙을 스스로 통제할 수 있는 곳에 자산을 두는 것, 이것이 이번 540만 달러 사건이 모든 U카드 이용자에게 무료로 준 교훈이다.