2025년 한 해 동안 Web3 분야에서 발생한 보안 사고 피해액이 33.5억 달러를 넘어섰어요. 전년 대비 무려 37%나 증가한 수치예요.
글로벌 최대 Web3 보안 기업 CertiK이 최근 발표한 '2025 Skynet Hack3D Web3 보안 보고서'가 업계에 경종을 울리고 있어요. 블록체인과 가상자산 시장이 빠르게 성장하고 있지만, 보안 위협은 오히려 더 정교해지고 위험해지고 있다는 분석이에요.
[첨부 이미지 1]
캡션: CertiK 2025 Skynet Hack3d 보안 보고서 표지
숫자로 보는 2025년 Web3 보안 현황
보고서에 따르면 2025년에는 총 630건의 보안 사건이 발생했어요. 흥미로운 점은 사건 건수 자체는 전년보다 137건이나 줄었다는 거예요. 그런데 피해 금액은 왜 늘었을까요?
답은 단일 공격당 평균 피해액에 있어요. 532.2만 달러로 전년 대비 66.6%나 급증했어요. 공격자들이 이제 '묻지마 공격'보다는 큰 돈이 걸린 고가치 타깃에 집중하고 있다는 뜻이에요. 한 번 터지면 피해 규모가 어마어마해지는 거죠.
올해의 키워드: 공급망 공격
2025년 가장 무서웠던 공격 유형은 바로 '공급망 공격'이에요. 연간 발생 건수는 단 2건에 불과했지만, 누적 피해액이 14.5억 달러에 달했어요. 전체 연간 손실의 거의 절반을 차지하는 엄청난 규모예요.
대표적인 사례가 2월에 발생한 Bybit 사건이에요. 약 14억 달러의 피해가 발생했는데, 이건 가상자산 역사상 최대 규모의 탈취 사건 중 하나로 기록됐어요.
여기서 주목할 점은 공격 방식이에요. 해커들은 거래소 시스템을 직접 뚫지 않았어요. 대신 제3자 멀티시그 지갑 서비스 제공업체의 개발자 환경에 침투했어요. 그리고 서명 프로세스에 악성 코드를 심어서 다중 승인 메커니즘을 우회했죠.
쉽게 말하면, 정문을 공격하는 대신 건물 관리 업체의 마스터키를 훔친 셈이에요. CertiK은 이런 트렌드가 공격자들이 이제 개별 프로젝트보다 핵심 인프라 제공업체를 노리고 있음을 보여준다고 분석했어요.
여전히 기승을 부리는 피싱 공격
공격 빈도 면에서는 피싱이 여전히 1위예요. 2025년 한 해 동안 248건의 피싱 공격이 발생했고, 피해액은 약 7.23억 달러에 달했어요.
그런데 CertiK은 이 숫자가 빙산의 일각일 수 있다고 경고해요. 개인 사용자를 대상으로 한 소규모 피싱이나 오프체인에서 벌어지는 사회공학적 공격은 공식 통계에 잡히지 않는 경우가 많거든요. 실제 피해 규모는 훨씬 클 수 있어요.
더 걱정되는 건 AI의 등장이에요. 인공지능 기술이 발전하면서 피싱 공격의 진입 장벽이 크게 낮아졌어요. 해커들은 AI를 활용해서 진짜처럼 보이는 피싱 웹사이트를 만들고, 다국어 사기 메시지를 대량 생성해요.
예전에는 문법 오류나 어색한 표현으로 피싱을 구별할 수 있었는데, 이제는 그런 방법이 잘 안 통해요. 온체인 데이터와 소셜미디어 정보를 조합한 '정밀 타깃팅' 공격도 늘고 있어서 누구나 타깃이 될 수 있어요.
희망적인 신호: 규제 환경의 변화
어두운 소식만 있는 건 아니에요. 글로벌 규제 환경에서는 긍정적인 변화가 감지되고 있어요.
미국에서는 스테이블코인과 디지털 자산 관련 입법이 진전되면서 업계에 명확한 방향성을 제시하고 있어요. 유럽연합은 MiCA 프레임워크를 통해 체계적인 규제 틀을 마련했고, 싱가포르와 홍콩은 규제 샌드박스를 운영하며 혁신과 안전 사이의 균형을 찾고 있어요.
이런 변화는 기관 투자자와 규제 친화적 자금의 유입을 촉진하고 있어요. 자연스럽게 보안에 대한 요구 수준도 높아지고 있죠.
보안, 이제는 선택이 아닌 생존의 문제
CertiK은 보고서에서 중요한 메시지를 던져요. 보안 역량이 '문제가 터진 후 대응하는 것'에서 벗어나 프로젝트 설계와 운영 전반의 핵심 인프라로 자리 잡고 있다는 거예요.
프로젝트 팀이든 개인 사용자든, 보안은 더 이상 있으면 좋은 '옵션'이 아니에요. 장기적인 생존 가능성을 결정짓는 핵심 변수가 됐어요.
앞으로 주의해야 할 것들
보고서는 향후 1년간 주목해야 할 위협도 전망했어요.
첫째, AI 기반의 정교한 사칭 공격이 더욱 진화할 거예요. 딥페이크 기술과 결합하면 구별이 거의 불가능한 수준까지 갈 수 있어요.
둘째, 공급망 공격은 계속 고도화될 거예요. 인프라 제공업체들의 보안 점검이 더욱 중요해지겠죠.
셋째, 개인 사용자를 노린 사회공학 공격도 늘어날 거예요. 기술적 방어벽을 뚫기보다 사람의 심리를 이용하는 공격이 더 효율적이라는 걸 해커들도 알고 있으니까요.
마무리하며
Web3 생태계가 성장할수록 노리는 눈도 많아지는 건 어쩔 수 없는 현실이에요. 하지만 이번 보고서가 보여주듯, 위협을 인식하고 대비하는 것만으로도 많은 피해를 예방할 수 있어요.
보안을 아키텍처 설계, 개발 프로세스, 사용자 경험 전반에 내재화한 프로젝트만이 다음 경쟁에서 살아남을 수 있다는 CertiK의 메시지가 많은 것을 시사해요.
개인 투자자 입장에서도 마찬가지예요. 편리함 뒤에 숨은 리스크를 항상 인식하고, 기본적인 보안 수칙을 지키는 습관이 내 자산을 지키는 첫걸음이에요.
[로고 이미지]
캡션: CertiK 공식 로고
📎 관련 링크
• CertiK 2025 보안 보고서 전문: https://indd.adobe.com/view/195e7b5e-5120-4bf9-9ee0-6f2b19cd38e7
• CertiK 공식 웹사이트: https://www.certik.com/
