10억루블 털린 그리넥스 영업 중단
서방 탓하지만 온체인 데이터는 반박
가란텍스 수법과 유사…자작극 의혹
작년 933억달러 거래, 제재 회피망 타격
![서방 제재를 피해온 러시아계 가상화폐 거래소 그리넥스 및 933억달러 규모의 거래를 처리한 관련 토큰 ‘A7A5’ 생태계가 내부 붕괴 위기를 맞고 있다. 사진은 A7A5 토큰 등 러시아 가상화폐 생태계와 연관된 상업 지구 빌딩의 전경. [출처=체이널리시스]](https://wimg.mk.co.kr/news/cms/202604/20/news-p.v1.20260420.4202695f3dd8425d92efe28aee166e6f_P1.jpg)
러시아계 가상화폐 거래소 그리넥스(Grinex)가 10억루블(약 1374만 USDT) 규모의 대규모 자금 유출 피해를 입었다며 영업을 전면 중단했다.
거래소 측은 서방 국가 정보기관이 개입된 사이버 공격이라고 강도 높게 비난하며 수사기관에 수사를 의뢰했다.
하지만 블록체인 데이터 분석 결과 외부 해킹보다는 내부자 소행이거나 이른바 ‘먹튀’를 위한 자작극일 가능성이 제기되며 파장이 일고 있다.
지난 17일(현지시간) 그리넥스는 공식 성명을 통해 “비우호적 국가의 정보기관이 개입한 것으로 추정되는 대규모 사이버 공격을 받아 10억루블 이상의 러시아 이용자 자금이 탈취됐다”며 전면적인 운영 중단을 발표했다.
그리넥스 측은 이번 사태가 단순한 해킹이 아님을 강조했다. 거래소 관계자는 “남겨진 디지털 흔적과 공격의 성격은 적대국 국가 기관만이 접근할 수 있는 전례 없는 수준의 기술력과 자원을 보여준다”며, “이는 러시아의 금융 주권에 직접적인 타격을 입히기 위해 치밀하게 조율된 공격”이라고 주장했다.
또한 이들은 거래소 출범 초기부터 서방의 지속적인 견제가 있었다고 덧붙였다. 그리넥스 측은 “우리는 가상화폐의 독립국가연합(CIS) 외부 유출을 막으려 노력해왔으나 거래소가 제재 명단에 오르고 지갑이 표적이 되는 등 지속적인 압박을 받았다”고 호소했다. 현재 그리넥스는 가용한 모든 정보를 수사기관에 넘기고 형사 고발을 진행한 상태다.
공식 발표에 따르면 피해액은 총 1374만 USDT(테더)에 달한다. 그리넥스는 탈취된 자금이 여러 환전 서비스를 거쳐 트론(TRX)으로 스와프(교환)되었으며, 현재 특정 단일 지갑 주소(TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa)로 집결되어 있다고 밝혔다. 해당 지갑에는 현재 약 4589만 TRX(약 1497만 달러 규모)가 보관되어 있는 것으로 확인된다.
![제재 대상인 러시아계 가상화폐 거래소 ‘그리넥스(Grinex)’에서 유출된 자금의 이동 경로. 온체인 데이터에 따르면, 탈취된 스테이블코인 자금은 서방 수사기관의 동결 조치를 피하기 위해 신속하게 탈중앙화거래소(DEX)를 거쳐 트론(TRX)으로 스와프됐다. [출처=체이널리시스]](https://wimg.mk.co.kr/news/cms/202604/20/news-p.v1.20260420.9a5bd1fdbf8a41aba1c5502b8569774d_P1.png)
그러나 블록체인 데이터 분석기업 체이널리시스의 분석 결과가 가리키는 진실은 그리넥스의 호소와 정면으로 배치된다.
체이널리시스에 따르면 유출된 초기 자금은 법정화폐 담보형 스테이블코인이었으나, 해커는 탈취 직후 트론 기반의 탈중앙화거래소(DEX)를 이용해 이를 동결이 불가능한 토큰(TRX)으로 신속하게 스와프했다.
흥미로운 점은 이때 사용된 DEX가 과거 그리넥스의 전신인 ‘가란텍스(Garantex)’가 자금 세탁 및 핫월렛 가스비 충당을 위해 애용하던 곳이라는 점이다.
전문가들은 서방 수사기관이 개입했다는 그리넥스의 주장에 강한 의구심을 표하고 있다. 통상적으로 서방 당국이 제재 조치를 취하거나 자금을 압수할 때는 스테이블코인 발행사에 글로벌 ‘자금 동결’을 요청하는 방식을 쓴다. 실제로 2025년 미국 수사기관은 가란텍스를 제재하며 2600만달러의 자금을 즉각 동결한 바 있다.
체이널리시스는 “발행사의 동결 조치를 피하기 위해 스테이블코인을 다른 탈중앙화 토큰으로 황급히 스와프하는 것은 당국의 추적을 따돌리려는 사이버 범죄자들의 전형적인 수법”이라고 지적했다.
이에 따라 업계에서는 서방의 고강도 제재로 궁지에 몰린 그리넥스 관계자들이 외부 해킹을 위장해 유동성을 빼돌리는 ‘엑시트 스캠(Exit Scam)’을 벌였을 가능성에 무게를 싣고 있다.
다크넷 시장이나 불법 서비스 운영자들이 폐업 전 해킹을 핑계로 이용자 자금을 가로채는 자작극은 가상화폐 업계에서 빈번하게 발생하는 수법이다.
그리넥스는 2025년 국제 수사기관에 의해 폐쇄된 가란텍스의 인프라와 고객 기반을 흡수하며 성장한 러시아계 핵심 거래소다.
특히 제재 대상인 키르기스스탄 기업 ‘올드 벡터’가 발행한 러시아 루블화 연동 토큰 ‘A7A5’의 주요 거래 허브로 활동해왔다.
A7A5는 서방 제재를 우회해 국경 간 결제를 지원하도록 설계되었으며, 지난해에만 933억달러(약 128조원) 규모의 불법적 자금 흐름을 처리한 것으로 알려져 있다.
그리넥스는 과거 테더사에 의해 동결됐던 25억루블 이상의 자금을 러시아 사용자에게 반환하는 데 관여했다고 자평해왔으나 결국 작년 미국 연방준비제도 해외자산통제국(OFAC)과 영국, EU의 제재 명단에 연이어 오르며 운영에 심각한 타격을 받아왔다.
체이널리시스 측은 “이번 사안이 실제 외부 해킹인지 아니면 러시아 연계 내부자의 위장 스캠인지와 무관하게 그리넥스의 셧다운은 러시아의 제재 회피 인프라에 심대한 타격을 주었다”며 “집결된 트론(TRX) 자금의 향후 이동 경로를 추적해 실제 배후를 명백히 밝혀낼 것”이라고 강조했다.
!['최대 실적·CXMT HBM 지연' 겹호재…최고가 찍고 주춤한 이유 [종목+]](https://img.hankyung.com/photo/202604/ZA.44050133.1.jpg)
![[단독] MBK, 홈플러스 담은 3호 펀드 수익률 방어 성공](https://img.hankyung.com/photo/202604/01.44052239.1.jpg)
![[인기검색TOP5] 대원전선, 아모그린텍, LS ELECTRIC, 유니드, 두산에너빌리티](https://pimg.mk.co.kr/news/cms/202604/23/news-p.v1.20260423.e91e4313a5bf40dbb6de96b2597387cc_R.jpg)
English (US) · 