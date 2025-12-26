핵심 내용

트러스트 월렛 사용자들을 표적으로 한 브라우저 확장 프로그램 해킹으로 인해 수백만 달러 상당의 가상자산이 도난당하는 사고가 발생했다.

이번 사고의 원인은 '버전 2.68' 확장 프로그램의 비정상적인 업데이트 과정에서 발생한 보안 결함으로 밝혀졌다.

모바일 지갑 사용자는 이번 피해에서 제외되었다.

바이낸스의 공동 창립자인 창펑 자오(Changpeng Zhao, 이하 CZ)가 대주주로 있는 비수탁형 가상자산 지갑 트러스트 월렛(Trust Wallet)에서 심각한 보안 사고가 발생했다.

해킹 경로는 브라우저 확장 프로그램… 특정 버전에 악성 코드

트러스트 월렛 측은 공식 발표를 통해 브라우저 확장 프로그램에서 발생한 보안 결함으로 인해 약 677만 달러(한화 약 96억 원) 규모의 사용자 자산 손실이 확인되었다고 공식 인정했다.

온체인 데이터 분석 업체인 룩온체인(Lookonchain)의 X 게시물에 따르면, 해커는 탈취한 자금 중 약 425만 달러를 쿠코인(KuCoin), HTX, 체인지나우(ChangeNOW), 픽스드플로트(FixedFloat) 등 주요 중앙화 암호화폐 거래소(CEX)와 가상자산 교환 플랫폼으로 전송한 것으로 파악되었다.

Trust Wallet(@TrustWallet) has been exploited, with hundreds of users affected and over $6.77M stolen so far. The hacker has already sent ~$4.25M to ChangeNOW, FixedFloat, KuCoin, and HTX. CZ(@cz_binance) has stated that Trust Wallet will fully cover the losses. Check hacker… pic.twitter.com/6xjyOaxUEK — Lookonchain (@lookonchain) December 26, 2025

탈취된 자산에는 비트코인(BTC), 이더리움(ETH), 테더(USDT), USDC, 바이낸스 코인(BNB) 등 다양한 주요 디지털 자산이 포함된 것으로 드러났다.

이번 사고는 브라우저 확장 프로그램의 ‘버전 2.68’에서 발생한 문제로 확인되었다. 트러스트 월렛 측은 사용자가 지갑을 복구하거나 설치할 때 사용하는 ‘시드 구문(Seed Phrase, 복구용 단어)’을 입력하는 과정에서 악성 코드가 활성화되도록 설계된 보안 허점이 있었음을 시인했다.

We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69. Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb Please note: Mobile-only users… — Trust Wallet (@TrustWallet) December 25, 2025

회사 측은 추가 피해를 막기 위해 모든 웹 사용자에게 즉시 지갑을 ‘버전 2.69’로 업데이트할 것을 강력히 권고했다.

다행히 모바일 애플리케이션 사용자나 이전/이후 버전의 확장 프로그램 사용자는 이번 공격의 영향을 받지 않은 것으로 알려졌다.

대주주 CZ, “사용자 피해 보상할 것”… 커뮤니티는 ‘내부자 해킹’ 의심

트러스트 월렛의 지분 대다수를 보유하고 있는 창펑 자오는 본인의 소셜 미디어(X)를 통해 “회사가 이번 사용자들의 손실을 모두 보상할 것(Cover)”이라고 밝히며 사태 수습에 나섰다.

So far, $7m affected by this hack. @TrustWallet will cover. User funds are SAFU. Appreciate your understanding for any inconveniences caused. 🙏 The team is still investigating how hackers were able to submit a new version. https://t.co/xdPGwwDU8b — CZ 🔶 BNB (@cz_binance) December 26, 2025

그러나 이러한 보상 약속에도 불구하고, 가상 자산 보안 커뮤니티에서는 이번 사고의 원인을 둘러싼 날 선 비판과 의혹이 이어지고 있다.

일부 전문가들은 이번 해킹이 단순한 실수라기보다 내부 관계자가 개입된 내부자 소행(Insider Job)일 가능성을 제기하고 있다. 기술적인 측면에서 보았을 때 너무나 기초적인 보안 결함이 노출되었기 때문이다.

Are you sure you have the right people for this? The code that the so-called hackers slid in is ridiculously easy to spot, you could even catch this via basic automated audits for any and all external URLs. Are we being told that there are no automated audits looking for… pic.twitter.com/TaTiodXUfq — ʝㄐ🔆 (@j4hangir) December 26, 2025

핀테크 업체 쿠비(Kuvi)와 알투라(Altura)의 최고기술책임자(CTO) 제이 나스르(Jay Nasr)는 “유니코드 문자 처리조차 제대로 되어 있지 않은 코드는 대놓고 피싱 공격을 허용한 것이나 다름없다”며, “자동화된 단위 테스트나 내부 검토 절차에서 어떻게 이런 기초적인 오류를 발견하지 못했는지 이해할 수 없다”고 강력히 비판했다.

또한, 많은 사용자는 단순히 자금을 돌려받는 것보다 근본적인 보안 취약점을 해결하고 유사한 사고의 재발을 방지할 수 있는 강력한 대책 마련을 촉구하고 있다.

TWT 토큰 가격 하락… 하지만 다시 회복세 보여

보안 사고 소식이 전해진 직후, 트러스트 월렛의 거버넌스 토큰인 TWT 가격은 몇 시간 만에 0.82달러에서 0.76달러로 하락하며 시장의 불안감을 반영했다.

하지만 창펑 자오의 빠른 보상 발표와 사태 수습 노력에 힘입어 가격은 다시 0.83달러 선을 회복했으며, 현재 시가총액은 약 3억 6,000만 달러 규모를 유지하고 있다.

디파이라마(DefiLlama)의 데이터에 따르면, 트러스트 월렛은 2025년 현재까지 약 1,359만 달러의 수익을 기록하고 있다. 이는 2024년 기록한 1,813만 달러의 수익과 비교했을 때 약 25% 하락한 수치다.

수익성 하락과 보안 사고라는 이중고에도 불구하고, 트러스트 월렛은 지난주 공식 발표를 통해 2025년 기준 전체 사용자 수가 2억 2,000만 명을 돌파하며 선도적인 암호화폐 지갑으로서의 입지를 지키고 있다고 주장했다.

현재 트러스트 월렛은 브라우저 확장 프로그램의 코드 전반에 대한 전수 점검과 보안 프로토콜 강화 작업에 돌입한 것으로 알려졌다. 이번 사고가 사용자들의 신뢰도에 어떤 장기적인 영향을 미칠지는 향후 보안 체계를 얼마나 신속하고 철저하게 보완하느냐에 따라 결정될 전망이다.

