22세 캐나다 출신 해커 안디언 메드제도비치가 디파이(DeFi) 프로토콜 두 곳에서 총 6,500만 달러(약 940억 원)를 탈취하고, 이후 세르비아 당국의 구금 상태에서 사라진 사실이 드러났다. 미국 법무부는 그에 대해 범죄 혐의를 제기한 상황이다. 그의 행방은 여전히 미궁 속이다.

메드제도비치는 캐나다 해밀턴 출신으로, 18세에 순수 수학 석사학위를 취득한 수학 천재로 알려져 있다. 기소장에 따르면 그는 2021년부터 디파이를 겨냥한 여러 차례의 해킹을 통해 거액의 암호화폐를 탈취하고, 이를 세탁한 혐의를 받고 있다.

그의 첫 번째 범행은 2021년 10월 '인덱스드 파이낸스(Indexed Finance)'에서 발생했다. 그는 암호화폐를 차입해 지수 풀을 조작한 뒤 1,650만 달러를 탈취했으며, 후속으로 공범과 협력해 거래소 계정과 믹서 서비스를 이용하여 자금을 은닉했다. 두 번째 범행은 2023년 11월 '카이버스왑(KyberSwap)' 프로토콜에서 발생했으며, 그는 알고리즘의 취약점을 악용해 자동화 마켓 메이커(AMM) 시스템을 조작하고 약 4,880만 달러를 획득했다. 이 공격 직후 메드제도비치는 공개 메시지를 통해 협상 의사를 밝혔으나, 플랫폼과의 보상금 협상에서 카이버스왑의 전체 통제권을 요구하며 갈등을 일으켰다. 그는 또한 폴리곤(MATIC)과 아발란체(AVAX) 체인을 통해 봇을 사용하여 추가로 570만 달러를 추출했다.

메드제도비치는 해킹 직후 가명을 사용하고 가짜 여권을 마련하여 유럽, 브라질, 두바이, 스페인 등 여러 국가를 여행하며 도피행각을 벌였다. 네덜란드 수사당국이 그의 행적을 추적한 결과, 그는 슬로바키아 가짜 여권으로 헤이그의 호텔에 머물다가 암스테르담, 이스탄불, 쿠웨이트를 거쳐 도주한 것으로 확인되었다. 유럽 체포영장과 인터폴 적색 수배령이 내려진 상태에서 그는 세르비아에 입국했으나, 보안 당국의 감시를 피하고 다시 사라졌다.

그는 세르비아 법원에서 자신이 보유한 여권이 보스니아 여권뿐이며 캐나다 여권은 없다고 주장하고, 네덜란드 송환을 거부하는 한편 세르비아에서 거주하고 싶다는 의사를 밝혔다. 메드제도비치는 세르비아에서 '가족을 만들고 인생의 새로운 도전을 하고 싶다'고 전한 것으로 알려졌다.

그의 범죄 수법은 더욱 정교해지고 있으며, 미국 법무부에 제출된 기소장에는 해킹과 자금세탁을 위한 매뉴얼이 포함되어 있다. 이 문서에는 가짜 신분증을 사용해 새로운 은행 계좌를 개설하거나 온라인으로 문서를 주문하는 방법 등이 구체적으로 적혀 있다. 전문가들은 메드제도비치가 자금 흐름을 완전히 은폐하기 전까지 추적망을 피하기 어렵다고 입을 모은다.

현재까지 메드제도비치의 자산 회수는 이루어지지 않았고, 그의 디지털 지갑 내 자산도 그대로 잠겨 있는 상태다. 수사당국은 그가 자금을 돌려주지 않거나 협조하지 않을 경우 최대 10년 이상의 실형에 처해질 수 있다고 경고하고 있다.

이 사건은 기술적 능력이 범죄로 얼마나 쉽게 악용될 수 있는지를 여실히 보여줍니다. 디파이 생태계가 발전하기에 따라 이를 겨냥한 범죄도 더욱 지능화되고 있으며, 이에 대한 새로운 대응 체계 마련이 시급하다.