북한, 2026년 해킹 피해액의 76% 차지…미 의회 뒤늦게 주목

워싱턴이 암호화폐 범죄 대응 역량을 재건하겠다는 신호를 보냈습니다 — 하지만 이를 근거로 거래에 나서기 전에 세부 내용을 꼼꼼히 확인해야 합니다. 이번 주에 나온 것은 정책이 아니라 제안입니다.

무엇이 달라졌나: 법률이 아닌 법안

2026년 6월 11일, 미국 하원의원 두 명이 암호화폐 해킹·익스플로잇·사기 조사를 조율하는 범정부적 태스크포스를 설립하는 법안인 '연방 암호화폐 도난 집행 및 조정법(Federal Cryptocurrency Theft Enforcement and Coordination Act)'을 발의했습니다 . 이는 새로 발의된 법안으로, 운영 중인 태스크포스도 아니고 시행된 법률도 아닙니다. 트레이더 입장에서 이것은 규제 방향을 가늠하는 신호일 뿐, 실질적인 집행 강화가 아닙니다.

법안 발의자는 하원 사법위원회 소속 랜스 구든 의원(공화당, 텍사스)과 하원 금융서비스위원회 소속 조시 고트하이머 의원(민주당, 뉴저지)입니다 . 제안된 태스크포스는 법무부 산하에 설치되며, 미국 법무장관 또는 지정인이 의장을 맡고 FBI, 국토안보부, 재무부(FinCEN 포함)가 참여 기관으로 명시됩니다 .

특히 중요한 두 가지 사항이 있습니다. 첫째, 이 태스크포스는 새로운 규제 기관이 아닌 조율 허브입니다. 법안의 범위는 명시적으로 절도·해킹·사기 등 형사 사건에 한정되며, 암호화폐 시장·디지털 자산 상품·금융기관을 규제하는 권한은 없습니다. 주(州) 및 지방 기관과의 협조는 자율적 참여로 규정됩니다.

둘째, 아직 통과된 것은 없습니다. 2026년 6월 중순 현재 이 법안은 위원회를 통과하지도 못했고 시행은 더더욱 아니며, 이번 회기 내 진전 여부도 불확실합니다. 실질적 시사점: 이를 펀더멘털 변화가 아닌 방향성 신호로 받아들이십시오.

"피해자들에게는 단일 연방 창구, 효과적이고 체계적인 대응, 그리고 사람들의 재산을 빼앗는 범죄자를 쫓는 명확한 행동 지침이 필요합니다," 라고 조시 고트하이머 의원이 말했습니다 (source: PYMNTS).

왜 지금인가: NCET 공백과 114억 달러 피해

이 타이밍은 워싱턴 스스로가 만들어낸 조율 공백에서 비롯됩니다. 2025년 4월, 법무부는 토드 블랜치 법무부 차관보의 메모를 통해 국가 암호화폐 집행팀(NCET)을 해산하며 이른바 '기소를 통한 규제'를 중단하고, 업계 전반이 아닌 개별 범죄 행위에 검사 역량을 집중하는 방향으로 전환했습니다 . 그 결과 암호화폐 범죄 사건을 총괄하는 연방 허브가 사라졌으며, 이 법안은 행정 조치가 아닌 입법을 통해 그 공백을 메우려는 시도입니다.

국회의원들이 계속 인용하는 것은 이와 관련된 데이터입니다. FBI 인터넷 범죄 신고 센터(IC3)는 2025년 암호화폐 관련 신고 181,565건에서 114억 달러의 피해가 발생했다고 집계했습니다 . 국가 연계 절도는 더욱 심각한 우려 사항입니다. TRM Labs에 따르면, 북한 연계 행위자들이 2026년 4월까지만 약 5억 7,700만 달러를 탈취했으며, 이는 연초 이후 전체 암호화폐 해킹 피해의 약 76%로 역대 최고 지속 비율입니다 .

이 수치의 대부분은 단 두 건의 공격에서 비롯되었습니다. 두 사건 모두 DeFi 익스플로잇으로, 트레이더들이 주목해야 할 반복적인 설계 및 프로세스 결함을 드러냅니다:

• Drift Protocol — 약 2억 8,500만 달러, 2026년 4월 1일, 소셜 엔지니어링 방식 .
• KelpDAO — 약 2억 9,200만 달러, 2026년 4월 18일, 단일 검증자/브리지 설계 취약점 관련 .

이러한 집중도는 단순한 1년짜리 급등이 아닙니다. TRM은 북한의 2017년 이후 누적 귀속 절도액이 60억 달러를 넘으며, 6년간 글로벌 해킹 피해에서 차지하는 비중이 꾸준히 증가하고 있다고 분석합니다 .

Source: TRM Labs . 이 추세가 시급성을 설명합니다. 2025년 집행 역량이 축소된 반면 주요 피해 경로의 집중도는 높아졌습니다. 그 불일치 — 조직적 수사 역량은 줄었는데 단일 적대 행위자가 피해액의 4분의 3을 차지하는 상황 — 이것이 의회가 내세우는 논거입니다.

트레이더가 읽어야 할 것: 신호 vs. 소음

트레이더 입장에서 이 법안의 핵심은 하지 않는 것에 있습니다. 2026년 6월 11일 발의된 연방 암호화폐 절도 집행 및 조정법(Federal Cryptocurrency Theft Enforcement and Coordination Act) 은 그 권한을 형사 수사 조정과 피해자 지원에 국한하며, 암호화폐 시장·상품·금융기관에 대한 규제는 명시적으로 배제합니다 . 법안 문언 그대로라면 거래소나 보유자에게 새로운 보고 의무는 부과되지 않습니다.

신뢰성의 근거는 초당파적 공동 발의입니다. 공화당 랜스 구든 의원(텍사스)은 하원 사법위원회, 민주당 조시 고트하이머 의원(뉴저지)은 하원 금융서비스위원회 소속입니다 . 위원회와 당을 넘나드는 이 지지는 법안이 진지하게 다뤄질 가능성을 높이지만, 이번 회기 통과는 아직 불확실합니다. 이 헤드라인은 펀더멘털 변화가 아닌 심리 지표로 받아들이십시오.

"이 법안은 소비자를 보호하고, 절도범을 단속하며, 암호화폐 생태계에 대한 신뢰를 강화합니다." — 랜스 구든 의원 (source: PYMNTS).

더 오래 지속될 신호는 방향성입니다. 워싱턴은 절도·해킹·북한 자금세탁 같은 형사 집행과, 시장·상품 규제 사이의 경계를 분명히 하는 방향으로 나아가고 있습니다. 이 틀이 유지된다면, 2025년 4월 DOJ가 NCET를 해체한 이후 심리를 짓눌러온 "집행을 통한 규제" 부담이 점차 걷힐 수 있습니다 .

그러나 지금 당장 행동 가능한 정보는 법안이 아닌 해킹 데이터입니다. 2026년 손실의 대부분은 두 건의 침해 사고에서 비롯됐습니다: Drift Protocol(약 2억 8,500만 달러, 4월 1일, 소셜 엔지니어링)과 KelpDAO(약 2억 9,200만 달러, 4월 18일, 설계 결함) . 브릿지 및 DeFi 프로토콜 리스크는 여전히 최대 손실 경로입니다. 지금 당장 취할 수 있는 행동:

• 헤드라인보다 보안 공시를 우선하십시오 — 입법 뉴스만큼이나 프로토콜 감사 보고서와 검증자 설계 노트를 꼼꼼히 읽으십시오.
• 단일 검증자 및 브릿지 아키텍처를 면밀히 검토하십시오 — KelpDAO 침해는 바로 이 유형의 결함을 파고든 사례입니다.
• 소셜 엔지니어링을 현재진행형 위협으로 대하십시오 — Drift 손실은 코드가 아닌 사람을 통해 발생했습니다.

결론: 미국이 NCET 해체 이후 암호화폐 절도 집행을 재건하려 한다는 신뢰할 만한 초당파적 신호이지만, 이는 발의된 법안일 뿐 법률이 아니며 현재의 실질적 영향은 없습니다. 데이터가 드러내는 지속적이고 집중된 해킹 리스크야말로 지금 당장 전략에 반영할 수 있는 부분입니다.

자주 묻는 질문

연방 암호화폐 절도 집행 및 조정법이란 무엇인가요?

공화당 텍사스주 랜스 구든 하원의원과 민주당 뉴저지주 조시 고트하이머 하원의원이 2026년 6월 11일 발의한 초당적 하원 법안입니다 . 법무장관이 의장을 맡는 법무부 산하 '연방 암호화폐 절도 태스크포스'를 신설하여 FBI, 국토안보부, 재무부에 걸친 암호화폐 절도 수사를 조율하도록 규정합니다 . 아직 제안된 법안일 뿐, 제정된 법률은 아닙니다.

이 법안은 암호화폐 거래자나 거래소에 새로운 규정 준수 의무를 부과하나요?

아닙니다. 법안에 명시된 대로, 이 법안의 적용 범위는 형사 수사 조율과 피해자 지원으로 한정되며, 암호화폐 시장·디지털 자산 상품·금융기관에 대한 규제는 명시적으로 제외됩니다 . 거래자나 거래소에 대한 새로운 보고 규정, 등록 요건, 시장 규제는 없습니다. 주(州) 및 지방 기관과의 협력은 자발적인 것으로 규정됩니다 .

왜 지금 의회가 이 법안을 발의했나요?

이 법안은 집행 공백에 대한 대응입니다. 2025년 4월 법무부는 국가 암호화폐 집행팀(NCET)을 해체하며, 스스로 '기소에 의한 규제'라 불렀던 방식을 종료했습니다 . 여기에 2025년 암호화폐 관련 신고 건수 181,565건·피해 신고액 114억 달러를 보여주는 FBI 데이터 와 급증하는 북한 연계 해킹이 맞물리면서, 의원들은 입법을 통해 중앙집중식 집행 역량을 재건하는 쪽으로 움직였습니다.

북한이 2026년에 탈취한 암호화폐 규모는?

TRM Labs 추산에 따르면 북한 연계 세력은 2026년 4월까지 약 5억 7,700만 달러를 탈취했으며, 이는 같은 기간 전체 암호화폐 해킹 손실의 약 76%에 해당합니다 . 이 금액은 단 두 건의 공격에서 비롯됩니다: Drift Protocol 침해(약 2억 8,500만 달러, 4월 1일)와 KelpDAO 침해(약 2억 9,200만 달러, 4월 18일) . 2017년 이후 북한에 귀속된 누적 탈취액은 현재 60억 달러를 초과합니다 .

법안 심의 과정에서 트레이더가 주목해야 할 사항은?

세 가지입니다. 첫째, 법안이 위원회를 통과할 수 있는지 여부입니다 — 이번 회기 내 통과는 결코 확실하지 않습니다. 둘째, 형사 전용 프레임이 유지되는지 여부로, 이는 워싱턴이 절도 집행과 시장 규제를 분리하고 있다는 신호가 됩니다. 셋째, 더 시급한 문제로, 브리지와 DeFi 프로젝트의 프로토콜 수준 보안 공개 여부입니다 — 북한의 피해가 단일 검증자·브리지 설계 결함(KelpDAO)과 소셜 엔지니어링(Drift)에 집중되었기 때문입니다 . 이 법안은 펀더멘털 변화가 아닌 심리적 변수로 다루십시오.