2026년 4월 16일, 러시아 최대 루블-암호화폐 거래소 그리넥스(Grinex)가 사이버 공격으로 약 10억 루블, 즉 1,300만~1,500만 달러에 달하는 이용자 자산을 탈취당했다. 업비트·빗썸 등 국내 거래소 이용자들에게는 낯선 이름일 수 있지만, 이 사건은 탈중앙화 자산 세탁 기법과 거래소 보안 취약점이라는 측면에서 한국 투자자들도 주목해야 할 사례다.
가란텍스에서 그리넥스로: 제재 후 부활한 거래소
그리넥스를 이해하려면 전신인 가란텍스(Garantex)부터 살펴야 한다. 가란텍스는 랜섬웨어·다크웹 거래 연루 혐의로 2022년 미국 재무부 산하 OFAC의 제재를 받은 러시아 거래소다. 2025년 3월 국제 공조 작전으로 서버와 도메인이 압수됐지만, 불과 며칠 뒤 그리넥스라는 이름으로 사실상 동일한 구조·인터페이스·이용자 기반을 갖춘 플랫폼이 등장했다.
Elliptic, TRM Labs, Chainalysis 세 곳 모두 그리넥스가 가란텍스와 소유권, 고객, 인프라를 공유한다고 분석했다. OFAC는 2025년 8월 그리넥스를 "가란텍스 활동의 연속"으로 규정하며 추가 제재를 부과했다. 또한 그리넥스는 제재 대상 러시아 국영은행 프롬스뱌즈방크(Promsvyazbank)와 몰도바 올리가르히 일란 쇼르(Ilan Shor)가 뒤를 받친 루블 연동 스테이블코인 A7A5의 핵심 허브였다. 2025년 한 해에만 약 930억 달러의 거래를 처리했는데, 이는 러시아 추정 수입액의 약 3분의 1에 해당하는 규모다.
공격 분석: 한국시간 오후 9시, 54개 지갑, 트론 전환
Elliptic에 따르면 2026년 4월 16일 UTC 12시(한국시간 오후 9시), 그리넥스 연결 지갑에서 약 1,500만 달러 상당의 USDT가 유출됐다. 자금은 주로 트론(TRON) 네트워크를 통해 선스왑(SunSwap)에서 TRX로 전환된 뒤 단일 주소로 집결됐으며, 공개 시점 기준 약 4,590만 TRX가 해당 주소에 보관된 상태였다. 선스왑은 가란텍스도 과거에 사용한 바 있는 탈중앙화 거래소다.
그리넥스는 피해 지갑 54개 목록을 공개하고 당국에 신고했다. 공식 텔레그램 채널에서는 이번 공격을 "적대적 국가의 특수기관이 러시아 금융 주권을 훼손하기 위해 조율한 작전"이라고 주장했다.
위장 공작인가, 엑시트 스캠인가: 온체인 데이터의 반론
2026년 4월 18일 Chainalysis가 공개한 보고서는 그리넥스의 주장에 정면으로 의문을 제기한다. 서방 법집행기관이 스테이블코인을 압수할 때는 테더(Tether)를 통해 동결 처리하지, TRX로 전환하지 않는다는 것이다. 동결이 불가능한 탈중앙화 자산으로의 급격한 전환은 오히려 추적을 방해하려는 범죄자들의 전형적인 수법이다. 이와 동일한 패턴은 과거 가란텍스 생태계의 불법 거래에서도 반복적으로 나타났다.
TRM Labs는 그리넥스가 공개한 54개보다 16개 많은 약 70개의 연루 주소를 확인했으며, 그리넥스와 밀접하게 연결된 키르기스스탄 거래소 토큰스팟(TokenSpot)도 같은 시간대에 피해를 입었다는 사실을 밝혔다. Chainalysis는 내부에서 조율된 위장 공작 또는 해킹으로 위장한 엑시트 스캠 가능성을 배제하지 않고 있다. ZachXBT가 지속적으로 지적해온 대로, 거래소 보안 취약점은 단발성 사건이 아니라 구조적 문제다.
- 유출 규모: 약 1,500만 달러(USDT, TRON 기반)
- 전환 경로: SunSwap DEX를 통해 TRX로 스왑 후 단일 주소 집결
- 연루 주소: TRM Labs 기준 70개(그리넥스 공식 발표 54개 상회)
- 추가 피해: 키르기스스탄 거래소 TokenSpot도 동일 시간대 피해
4월, 중앙화 거래소에 켜진 경고등
그리넥스 사건은 고립된 사례가 아니다. 같은 달 크라켄(Kraken)은 2,000명 고객 데이터에 접근한 내부자의 협박 시도를 격퇴했다. FBI는 2025년 미국 내 암호화폐 사기 피해액이 전년 대비 22% 증가한 110억 달러를 돌파했다고 확인했다.
한국에서는 2024년 시행된 가상자산이용자보호법이 이용자 자산 분리 보관과 거래소 보안 요건을 강화했지만, 해외 거래소를 이용하는 한국 투자자들은 여전히 이 같은 사건에 노출될 수 있다. DAXA 소속 거래소(업비트, 빗썸, 코인원 등)는 국내 규제 하에 운영되지만, 제재 대상 해외 플랫폼과의 거래는 자금세탁방지법 위반 소지가 있다는 점도 유의해야 한다.
그리넥스 이용자들은 현재 자신의 자금에 접근하지 못하고 있다. 복구 일정도, 보상 보장도 없다. 가란텍스 이용자들이 겪었던 것과 똑같은 상황이다. 투자자들은 규제 당국의 제재 여부와 거래소의 법적 지위를 반드시 확인한 뒤 자산을 예치해야 한다.
