ZachXBT가 Axiom Crypto 내부에서 발생한 것으로 보이는 ‘내부자 거래’에 대한 심각한 의혹을 공개했다. 보고서에 따르면, 고위직 직원들이 내부 데이터 도구를 사용하여 사용자 거래를 ‘프런트러닝’하며 10개월 이상에 걸쳐 약 40만 달러(한화 약 5억7656만원)를 불법적으로 챙겼다는 주장이 제기되었다.
주요 문제는 몇몇 시니어 사업개발(business development) 인력이 실시간 사용자 데이터베이스에 대한 ‘무제한 관리자 권한’을 보유하고 있었다는 점이다. 이들은 내부 대시보드에서 사용자 식별자(UID)를 확인하고, 온체인 데이터를 교차 대조하여 지갑 소유자를 특정한 뒤, 시장의 반응이 있기 전에 미리 매수하거나 매도하여 이익을 취한 것으로 전해진다.
이들의 수법은 간단하지만 심각한 파급력을 가지고 있다. 고객지원 및 컴플라이언스 목적으로 사용되는 내부 관리자 화면을 통해 민감한 사용자 정보에 접근하며, UID와 연결된 온체인 지갑을 추적한다. 이후 KOL 지갑이나 기관 대형 지갑의 움직임을 감지한 뒤, 가격이 오르기 전에 미리 매수하고 고래가 시장에서 이탈하기 전에 미리 매도하는 방식으로 반복적인 프런트러닝 행위를 계속해왔다고 한다.
ZachXBT는 이 행위가 최소 10개월 이상 지속되었고, 비기술 인력이 기술 보안 책임자와 동일한 접근 수준의 권한을 가졌던 점에서 심각한 문제를 지적했다. 권한 분리 장치인 역할 기반 접근통제(RBAC)가 제대로 작동하지 않으면서 내부자에게는 정보 비대칭이 발생하고 말았다. 아울러, Axiom Crypto는 외형적으로 연간 약 3억9000만 달러(약 5619억4600만원)의 매출을 기록하는 등 성장하였으나, 내부 통제 시스템은 이에 비해 크게 미흡하다는 비판에 직면하고 있다.
다시 말해, 사업개발 인력이 라이브 환경의 사용자 ID와 거래 관련 데이터에 폭넓게 접근할 수 있었던 점에서 최소 권한 원칙과 접근 로그 감시 체계의 부재가 우려를 불러일으킨다. ZachXBT는 Axiom Crypto가 사실상 ‘갓 모드(God mode)’에 가까운 관리자 환경을 방치하고 있었다고 지적하며, 정상적인 권한 설계와 감사 로그가 존재했다면 이상 징후를 조기에 발견할 수 있었다고 주장한다.
현재 Axiom Crypto는 ‘전면 내부 감사’에 착수한 것으로 알려졌으나, 이번 의혹이 사실로 확인될 경우, 내부자 이익 40만 달러는 단순한 윤리적 문제에 그치지 않고 심각한 사기 및 규제 리스크로 발전할 것으로 전망된다. 이는 성장 중심의 전략을 추구하는 스타트업들이 거버넌스 문제를 간과할 때 발생할 수 있는 전형적인 시스템 리스크로 여겨진다.
결국 이번 사건은 데이터, 권한, 온체인 분석이 결합된 복잡한 구조 속에서 발생한 문제임을 시사한다. 개인 투자자는 비대칭 정보가 존재하는 시장에서 거래 상대가 누구이며, 자신의 주문이 어떤 정보 비대칭에 놓여 있는지를 정확히 파악하는 것이 생존의 열쇠가 되었다고 볼 수 있다.
ZachXBT의 보고서는 투자자와 사용자들에게 내부 권한 설정 및 감사 프로세스의 중요성을 다시 한번 일깨워 주는 기회가 될 것이다. 이를 통해 향후 발생할 수 있는 유사 사건들을 예방하기 위한 긴밀한 감시와 분석이 필요하다는 점을 강조해야 한다.
