2021년 탈중앙화 금융(DeFi) 역사상 가장 충격적인 해킹 사건 중 하나가 4년 만에 법적 결말을 향해 나아가고 있다. 메릴랜드주 록빌 거주자 조너선 스팔레타(Jonathan Spalletta, 36세)가 탈중앙화 거래소 Uranium Finance를 대상으로 한 두 차례의 대규모 공격과 관련해 컴퓨터 사기 및 자금 세탁 혐의로 공식 기소됐다.
검찰에 따르면, 스팔레타는 정교하게 설계된 일련의 공격을 통해 5,000만 달러 이상의 암호화폐를 탈취했으며, 이로 인해 Uranium Finance는 운영을 완전히 중단하게 됐다.
두 단계로 이루어진 공격
Complex Frauds and Cybercrime Unit의 수사에 따르면, 이번 범행은 2021년 4월 두 단계에 걸쳐 이루어진 것으로 밝혀졌다.
4월 8일, 스팔레타는 Uranium의 스마트 컨트랙트를 조작해 허가된 범위를 크게 초과하는 암호화폐 보상을 인출하는 데 성공했다.
"몇 주 전에 150만 달러짜리 크립토 한 방 터뜨렸어... 스마트 컨트랙트에 버그가 있었는데 그걸 이용했지... 어차피 크립토는 그냥 인터넷 가짜 돈이잖아."
첫 번째 공격으로 약 140만 달러를 탈취한 그는 이후 더욱 대담한 행동을 이어갔다. 탈취한 자금의 일부를 합법적으로 처리하기 위해 거래소를 협박해 약 38만 6,000달러를 "버그 바운티"(취약점 보상금) 명목으로 받아냈으며, 법적 조치를 취하지 않겠다는 약속을 조건으로 내걸었다.
그러나 결정적인 공격은 2021년 4월 28일에 이루어졌다. 유동성 풀의 인출 한도를 규정하는 스마트 컨트랙트의 치명적인 취약점을 이용해 26개 풀에서 약 5,330만 달러 상당의 자산을 빼냈다. 피해 규모가 너무나 컸던 나머지 Uranium Finance는 즉시 모든 운영을 중단할 수밖에 없었다. 이는 국내 DeFi 투자자들에게도 큰 경각심을 불러일으킨 사건이었다.
자금 세탁과 사치스러운 소비
탈취한 자금은 그대로 방치되지 않았다. 검찰은 스팔레타가 범죄 수익의 출처를 숨기기 위해 복잡한 자금 세탁 전략을 구사했다고 주장한다. 추적을 피하기 위해 미국 연방 당국이 제재를 가한 암호화폐 믹서 서비스 Tornado Cash를 활용한 것으로 파악됐다. Tornado Cash는 국내 가상자산 업계에서도 규제 논의의 핵심 사례로 자주 거론되는 서비스다.
"조너선 스팔레타는 스마트 컨트랙트를 반복적으로 해킹해 수백만 달러의 타인 자금을 갈취하고, 그 과정에서 암호화폐 거래소를 완전히 파괴했습니다." — 미국 연방 검사 제이 클레이튼(Jay Clayton)
자금 세탁을 마친 범죄 수익은 실물 자산으로 전환됐다. 스팔레타는 희귀 수집품과 고대 동전 등에 아낌없이 투자하며 사치스러운 생활을 즐긴 것으로 알려졌다. 그러나 2025년 2월, 연방 수사관들이 그의 지갑과 연결된 약 3,100만 달러 상당의 디지털 자산을 압수하면서 모든 행각이 막을 내렸다.
DeFi 생태계의 지속되는 위협
스팔레타의 체포는 DeFi 생태계가 여전히 심각한 보안 위협에 노출되어 있음을 상기시켜 준다. 한국은 가상자산이용자보호법(2024년 시행)을 통해 업권 규제를 강화하고 있지만, 스마트 컨트랙트 취약점을 악용한 탈취는 규제의 경계를 넘나드는 글로벌 위협이다. PeckShield에 따르면 2025년 암호화폐 관련 피해액은 40억 달러를 넘어 전년 대비 34% 증가했으며, 스마트 컨트랙트 취약점은 여전히 해커들의 주요 침투 경로로 꼽힌다. Upbit, Bithumb 등 국내 거래소들도 DeFi 연계 서비스 보안 강화에 지속적인 주의가 필요한 시점이다.
"스팔레타(36세, 메릴랜드주 록빌)는 컴퓨터 사기 혐의 1건(최대 징역 10년) 및 자금 세탁 혐의 1건(최대 징역 20년)으로 기소되었습니다." — 공식 보도자료
#PeckShieldAlert 2025 has witnessed a record-breaking year for crypto-related theft, driven primarily by systemic vulnerabilities in centralized infrastructure and a strategic shift toward targeted social engineering.
— PeckShieldAlert (@PeckShieldAlert) January 13, 2026
The total loss in 2025 exceeded $4.04B, reflecting a ~34.2%… pic.twitter.com/PRlGDPOLH1
조너선 스팔레타는 최대 30년의 징역형에 처할 수 있다. 이번 사건은 블록체인 기술이 투명성을 표방하지만, 코드에 취약점이 존재할 경우 이 불변성이 오히려 양날의 검이 될 수 있음을 보여준다. 미국 사법 당국은 전문 수사 부서를 통해 온체인 거래의 복잡성에도 불구하고 익명성이 더 이상 대규모 사기 범행의 방패막이가 되지 않는다는 것을 증명하고 있다.
