Gnosis 공동창업자가 Gnosis Pay에서 exploit이 발생했음을 확인하고, 사용자 손실 전액(100%)을 보전하겠다고 공개적으로 약속했다. CriptoNoticias 보도에 따르면, 기사 작성 시점까지 Gnosis 측은 도난 금액도, 배상 방식과 일정도 밝히지 않았다. Gnosis Pay는 Gnosis Chain 기반의 셀프커스터디형 Visa 직불카드로, “카드 잔액을 사용자가 온체인 지갑에 직접 보유”하는 설계를 핵심 특징으로 내세운다—바로 이 설계가 이번 사건의 핵심이다.
편집자 해설: 온체인 카드의 “스마트 컨트랙트 계층” 리스크가 지목되다
결론부터 말하면: 이번에 피해를 본 것은 중앙화 커스터디 카드가 아니라, “보안”을 스마트 컨트랙트와 온체인 계정 위에 세일즈 포인트로 세운 상품이다. 이 사건이 USDT 카드 사용자에게 주는 시사점은 “또 카드 하나가 해킹당했다”는 것보다 훨씬 크다.
Gnosis Pay의 핵심 내러티브는 “당신의 자금은 당신 자신의 Safe 지갑에 있으며, 발급사는 손댈 수 없다”는 것이다. 이론상 이는 커스터디형 방식보다 안전하다. 하지만 그 대가로—공격 표면이 “발급사의 서버”에서 “스마트 컨트랙트 + 사용자 지갑 승인(approval)“으로 옮겨간다. 컨트랙트나 승인 로직에 exploit이 발생하는 순간, 셀프커스터디의 장점은 즉시 단점으로 뒤바뀐다.
어떤 사용자가 즉시 관심을 가져야 할까?
- 셀프커스터디 / 온체인 서명형 카드를 보유한 사용자: OneKey Card, Ledger Crypto Life처럼 하드웨어 지갑이나 온체인 계정을 자금 원천으로 삼는 상품이 여기 포함된다. 이번 사건이 이들 상품에 직접 영향을 미치지는 않지만, 동일 유형의 아키텍처 리스크를 고려해 본인의 컨트랙트 승인(approval) 내역을 재점검할 필요가 있다.
- 커스터디형 USDT 카드 사용자: Bybit Card, MPCard처럼 자금을 발급사/거래소가 관리하는 방식은 이번 사건의 직접적인 기술적 영향을 받지 않는다—Gnosis 관련 승인을 보유하고 있지 않기 때문이다.
7 / 30 / 90일 전망: 7일 이내에는 Gnosis가 도난 금액과 배상 세부사항을 공개하는지 지켜봐야 한다. 30일 이내는 배상 이행의 핵심 시점이다(“배상 약속”과 “배상 완료” 사이의 거리는 역사적으로 종종 과소평가되어 왔다). 90일 이내에는 Gnosis Pay가 사후 감사 보고서를 발표하는지 관찰해야 한다.
과거 사례 비교: 배상 약속 ≠ 배상 완료
이번 사건을 두 가지 과거 사례와 함께 보면 더 명확해진다.
2023년 3월 USDC는 실리콘밸리은행 리스크로 인해 일시적으로 0.87 부근까지 디페깅되었다. 당시 Circle은 신속히 “전액 상환”을 약속했고, 은행 사태가 진정된 후 실제로 이행했다—이는 준비금이 투명하고 메커니즘이 명확한 약속이었다. 반면 이번 Gnosis의 약속은 금액과 메커니즘 공개가 결여되어 있다는 점이 가장 큰 차이다. 한 회사가 “전액 손실을 보전하겠다”고 말하면서도 얼마를, 어떤 자금으로, 언제 지급할지 밝히지 않는다면, 그 약속의 신뢰성은 실제 이행으로만 검증될 수 있다.
또 다른 비교 대상은 2024년 여러 DeFi 프로토콜이 공격당한 후 이루어진 “거버넌스 금고 배상” 사례다—그중 상당수는 결국 부분 배상에 그쳤거나, 원자산이 아닌 토큰으로 배상되었다. 공통점: 모두 온체인 상품이며 공개적인 배상 약속이 있었다. 차이점: Gnosis Pay는 실제 결제망(Visa 네트워크)에 직접 연결되어 있고, 사용자층에는 이를 일상 소비 카드로 사용하는 비(非) DeFi 네이티브 사용자가 다수 포함되어 있다. 이들은 “온체인 리스크”에 대한 허용 범위가 DeFi 이용자보다 훨씬 낮다.
규제·컴플라이언스 관점: EU 경계가 좁혀지고 있다
Gnosis Pay는 주로 유럽 시장을 대상으로 하며 MiCAR 및 EMI(전자화폐기관) 규제 프레임워크 하에서 운영된다. 이런 사건은 규제상 가장 민감한 지점을 정확히 건드린다. 셀프커스터디 자금 + 규제 대상 결제망의 혼합 형태는 현재 EU에서 규정이 아직 완전히 명확하지 않은 회색지대에 놓여 있다. 카드 자체(Visa)는 EMI 라이선스의 규제를 받지만, 기초 온체인 계정의 보안 책임 소재는 현행 프레임워크상 명확하지 않다.
EU 측 컴플라이언스 경계에 대해 더 알고 싶은 독자는 우리의 EU 컴플라이언스 가이드를 참고하기 바란다. 간단히 말해: MiCAR 하에서 발급사는 결제 단계에 대해 명확한 의무를 지지만, “사용자가 셀프커스터디한 온체인 자금이 공격당한” 이런 시나리오의 배상 책임은 현재 법정 강제보다는 발급사의 자발적 약속에 더 많이 의존한다—바로 이 때문에 Gnosis의 “약속”이 그토록 중요하며, 동시에 그만큼 감시가 필요한 것이다.
앞으로 주목해야 할 핵심 시점
- 도난 금액 공개: Gnosis가 일주일 내에 구체적인 수치를 제시하는지. 금액 공개가 늦어질수록 경계해야 한다.
- 배상 방식: 원자산으로 배상할지 GNO 토큰으로 배상할지? 분할 지급인지 일시 지급인지? 이는 사용자가 실제로 얼마를 돌려받을지를 결정한다.
- 사후 감사: 제3자 보안업체를 고용해 보고서를 작성하고 근본 원인(root cause)을 공개하는지 여부.
- EU 규제 대응: EMI 규제 기관이 이 사건에 대해 공문을 보내거나 질의를 하는지—이는 동종 상품에 대한 풍향계가 될 것이다.
편집자 제안
- Gnosis Pay 기존 사용자: 배상 세부사항이 공개되기 전까지, 온체인 지갑 내 단기 소비에 필요한 수준을 초과하는 잔액은 인출하고, 불필요한 컨트랙트 승인(approval)은 확인 후 취소할 것을 권한다. “전액 배상 약속”만 믿고 높은 잔액을 유지하지 말 것.
- OneKey Card, Ledger Crypto Life 등 온체인형 카드 보유 사용자: 이번 사건이 직접 영향을 미치지는 않지만, 컨트랙트 승인 내역을 재점검할 좋은 기회다.
- 커스터디형 USDT 카드 사용자: 별도 조치가 필요 없다. 셀프커스터디와 커스터디 중 어느 쪽을 선택할지 안전성 측면에서 고민 중이라면, 2026년 추천 카드 TOP 5에서 각기 다른 아키텍처의 장단점을 비교해볼 수 있다.
- Gnosis Pay 신규 신청을 계획 중인 사용자: 배상이 완료되고 감사 보고서가 나올 때까지 30일 정도 대기한 후 가입 여부를 결정할 것을 권한다.
한 마디로 정리하면: 온체인 카드는 “보안”을 세일즈 포인트로 내세웠지만, 보안은 구호가 아니라 지속적으로 증명해야 하는 과정이다. 배상 약속은 좋은 신호지만, 배상 이행이야말로 진짜 답이다.