폴리마켓, 연이은 악재로 위기… 300만 달러 해킹에 가짜 승리 영상 논란까지

2026년 6월 25일, 예측 시장 플랫폼 폴리마켓(Polymarket)이 공급망 공격(supply-chain attack)을 받아 이용자 자금 약 300만 달러가 도난당했습니다. 이 사건은 월스트리트저널(WSJ)이 폴리마켓이 크리에이터들에게 가짜 승리 베팅 영상을 제작하도록 돈을 지불했다는 사실을 폭로한 지 5일 만에 발생했습니다. 이로 인해 보안 실패와 신뢰 위기가 동시에 불거지며 플랫폼의 운영 무결성, 공급업체 관리, 이용자 보호에 대한 근본적인 의문이 제기되고 있습니다 .

300만 달러 해킹, 어떻게 발생했나

공격자는 폴리마켓 웹사이트 프론트엔드에 사용되는 신원 미상의 서드파티 공급업체를 해킹했습니다. 이후 폴리마켓의 프론트엔드에 악성 자바스크립트 코드를 주입하여 일부 이용자를 대상으로 피싱 방식의 공격을 감행했습니다. 폴리마켓의 핵심 스마트 컨트랙트와 블록체인 인프라는 손상되지 않았으며, 이번 침해는 순전히 프론트엔드 공급망을 통한 것이었습니다 .

주요 기술적 세부 사항은 다음과 같습니다:

• 공격 대상: 악성 스크립트는 15개 미만의 계정을 대상으로 했으며, Bubblemaps의 온체인 데이터에 따르면 최소 11개의 지갑이 피해를 입었습니다 .
• 도난 자산: 도난당한 자산은 **pUSD(폴리마켓의 Polygon 기반 브릿지 USDC)**였습니다. 공격자는 Polygon에서 Ethereum으로 자금을 브릿지하여 약 1,893 ETH로 교환했습니다 .
• 피해 규모: 독립 보안 분석가 Specter는 확인된 손실을 294만 달러로 추정했으며, 폴리마켓과 여러 소식통은 약 300만 달러로 집계했습니다 .

이번 공격은 암호화폐 플랫폼의 고전적인 약점을 이용했습니다. 블록체인 스마트 컨트랙트가 안전하더라도, 서드파티 의존성이 취약점을 만들 수 있다는 점입니다. 실제 폴리마켓 도메인에서 악성 코드가 실행되었기 때문에 이용자들은 정식 플랫폼과 상호작용하는 중에 사기성 거래를 승인하도록 속았습니다 .

폴리마켓의 보안 조치

폴리마켓의 즉각적인 대응은 X(트위터)를 통해 발표되었으며, 다음과 같습니다:

• 침해 차단 및 제거: 프론트엔드에서 손상된 서드파티 의존성을 차단하고 제거했습니다 .
• 전액 환불: 모든 피해 이용자에게 전액 환불하겠다고 약속했습니다 .
• 조사 진행 중: 현재 조사가 진행 중이지만, 폴리마켓은 해당 공급업체의 이름을 공개하지 않았습니다 .

대응은 신속했습니다. 같은 날 아침에 침해를 발견하고 확인했습니다. 그러나 이번 사건은 폴리마켓의 두 달 만에 두 번째 보안 사고였습니다. 2026년 5월 중순, 내부 월렛 해킹으로 약 70만 달러의 손실이 발생한 바 있습니다 . 당시 사건은 이용자 자금에 직접적인 영향을 미치지 않았지만, 폴리마켓의 운영 보안에 취약점이 있음을 시사했으며, 이번 6월 공급망 공격으로 그 우려가 현실이 되었습니다.

기만적인 마케팅 스캔들

해킹이 발생하기 불과 며칠 전인 2026년 6월 20일, **월스트리트저널(WSJ)**은 폴리마켓이 소셜 미디어 크리에이터들에게 플랫폼에서 큰 금액을 딴 것처럼 보이는 가짜 영상을 제작하도록 돈을 지불했다는 충격적인 조사 결과를 발표했습니다 .

WSJ 조사의 주요 결과:

• 분석가는 소셜 플랫폼에서 폴리마켓 관련 1,105개 영상을 검토했습니다. 이 중 778개가 가짜 베팅을 보여주었으며, 실제 폴리마켓 거래소를 사용한 영상은 하나도 없었습니다 .
• 이 영상들은 총 190만 달러의 당첨금을 보여주는 것으로 나타났습니다 .
• 폴리마켓은 크리에이터들에게 베팅을 연출하는 방법에 대한 교육 자료를 제공했습니다 .
• 해킹 다음 날인 2026년 6월 26일, **전미 소비자 옹호 단체(National Association of Consumer Advocates)**는 폴리마켓을 상대로 기만적인 마케팅 계획을 주도하고, 비밀 광고비를 지불했으며, 손실 확률을 숨기고 대학생들을 적극적으로 표적으로 삼았다는 내용의 소송을 제기했습니다 .
• 폴리마켓은 홍보 콘텐츠를 감사(audit) 중이라고 밝혔습니다 .

WSJ 보고서는 마케팅 계약업체인 Virality가 크리에이터 네트워크를 관리했으며, 크리에이터에게 월 2,000~3,000달러를 지급했다고 자세히 설명했습니다. 지급 조건은 예측 시장에 대한 규제 불확실성에도 불구하고 시청자의 60% 이상이 미국 거주자여야 한다는 것이었습니다 .

위기가 어떻게 증폭되는가

연이은 스캔들은 여러 측면에서 신뢰 위기를 증폭시키고 있습니다:

측면	영향
보안 신뢰	두 달 만에 두 건의 침해 사고(5월 내부 월렛 해킹, 6월 300만 달러 규모 공급망 해킹)는 서드파티 공급업체 위험 관리가 부적절함을 보여줍니다
운영 무결성	가짜 영상 스캔들은 폴리마켓이 의도적으로 대중을 속여 베팅 결과를 왜곡했음을 증명합니다. 이제 이용자는 플랫폼의 홍보 콘텐츠나 시장 데이터조차 신뢰할 수 있는지 의문을 품게 됩니다
규제 리스크	소비자 단체의 소송과 해킹 사고는 규제 당국의 조치 가능성을 높입니다. 폴리마켓은 이미 CFTC의 조사를 받고 있으며, 2024년 미등록 거래소 운영에 대해 14억 달러 규모의 SEC 합의금을 부담한 상태입니다
이용자 신뢰	승리 결과를 조작하고, 알려진 공격 방식(공급망 자바스크립트 주입)에 취약한 프론트엔드를 보호하지 못하는 플랫폼에 이용자들이 실제 자금을 맡길 이유가 거의 없습니다

시점 또한 중요합니다. 해킹은 WSJ 조사 5일 후에 발생했으며, 이는 보안 실패가 폴리마켓의 운영 및 윤리 기준이 위험할 정도로 느슨하다는 비판을 즉각적으로 입증했습니다. 회사는 현재 보안, 법률, 평판의 삼중 위기에 직면했으며, 이용자 신뢰를 회복할 뚜렷한 방안이 없는 상황입니다.

암호화폐 플랫폼에 미치는 광범위한 영향

폴리마켓의 공급망 해킹은 암호화폐 보안의 일반적인 패턴을 보여줍니다. 서드파티 공급업체를 표적으로 한 공급망 공격은 블록체인 인프라의 강력한 보안을 우회할 수 있기 때문에 점점 더 흔해지고 있습니다. 취약한 프론트엔드 의존성을 통한 악성 자바스크립트 주입 공격 벡터는 잘 알려져 있지만, 엄격한 공급업체 검증과 코드 무결성 제어 없이는 예방하기 어렵습니다 .

암호화폐 플랫폼을 이용하는 모든 사용자에게 폴리마켓 사건은 다음과 같은 교훈을 제공합니다:

• 스마트 컨트랙트 보안만으로는 충분하지 않습니다. 프론트엔드 의존성이 손상될 수 있기 때문입니다.
• 서드파티 공급업체 위험은 초기 실사뿐만 아니라 지속적인 모니터링이 필요합니다.
• 단기간에 여러 건의 보안 사고가 발생하면 시스템적 취약점을 의미하며, 이는 단순한 개별 실패가 아닙니다.

폴리마켓 사례는 기만적인 마케팅이 적발된 직후 보안 사고가 발생했을 때 평판에 치명적인 손상이 가해질 수 있음을 보여줍니다. 이용자들은 생각할 수 있습니다. 플랫폼이 승리 결과에 대해 대중을 속이는 것을 마다하지 않는다면, 또 무엇을 속이고 있을까?

폴리마켓은 피해 이용자에게 전액 환불하겠다고 약속했지만, 손상된 공급업체를 밝히지 않았으며 향후 사고를 방지할 방법에 대한 구체적인 정보도 제공하지 않았습니다 . 투명성과 의미 있는 보안 개선 없이는 이용자의 신뢰를 회복하는 것이 매우 어려울 것입니다.