우리 국민이 해커보다 더 위험한가? 북한 해커들이 웹3의 "느슨한 문화"를 노리고 다시 공격하고 있다

2022년 6억 2,500만 달러 규모의 로닌 브리지 해킹 사건부터 2025년 여러 차례의 대규모 공격에 이르기까지, 북한 해커들은 암호화폐 세계를 마치 ATM처럼 여기고 있습니다. 보안 업체 오크 시큐리티는 북한 해커들이 더 이상 스마트 컨트랙트 공격에 취약점을 악용하는 데 그치지 않고, 웹 3.0 팀의 가장 취약한 연결 고리인 사람을 노리고 있다고 분석했습니다. 이러한 공격과 방어의 싸움은 더 이상 기술과 기술의 대결이 아니라, 보안 문화와 느슨한 관리의 줄다리기입니다.

( 수이 가문 눈물 흘려! 수이의 메인 DEX 세투스, 2억 6천만 달러 이상 손실, TVL 83% 증발 )

북한 해커들, 2025년에도 수십억 달러 더 훔치려 총력

북한 해커들의 활동이 더욱 활발해지고 있습니다. 2025년 한 해에만 암호화폐 업계에 대한 일련의 고정밀 공격을 감행하여 자산을 훔치고 핵심 팀에 침투하려 했습니다. 바이비트(Bybit) 거래소 에서 최대 15억 달러 상당의 자산을 훔치려 했고, 가짜 구직 신청서를 통해 계좌 비밀번호를 탈취했으며, 수백만 달러를 세탁하는 데 성공했습니다.

또한 이들은 MetaMask와 Trust Wallet을 대상으로 악성 프로그램 공격을 감행하여 "구직자로 위장"하여 거래소 에 침투하려고 시도했으며, 미국에 쉘 회사를 설립하여 암호화폐 개발자를 특별히 표적으로 삼았습니다.

이러한 공격은 점점 더 정교해지고 방법도 다양해지고 있지만, 핵심은 기술적 혁신이 아니라 '운영 보안'의 허점을 노리는 것입니다.

( 북한 해커들이 대만 거래소 표적으로 삼고 있을까? BitoPro는 해킹으로 1,150만 달러를 잃었는데, Bybit의 15억 달러 도난 사건과 동일한 조직으로 의심됨 )

해커는 더 이상 취약점을 찾지 않고 인간의 오류를 찾습니다.

Web3 팀은 수년간 스마트 계약 보안에 집중해 왔지만, 조직 운영의 운영 보안(OPSEC) 문제는 대체로 간과해 왔습니다. Oak Security의 전문가들은 600개 이상의 암호화폐 프로젝트에 대한 보안 감사 실시한 결과 , 대부분의 팀이 운영 보안을 위한 방어책을 거의 갖추지 못했다는 사실을 발견했습니다.

일반적인 질문은 다음과 같습니다.

• 느슨한 개인 키 관리

• 기여자는 신원 확인 없이 Discord를 통해 등록됩니다.

• 암호화되지 않은 개인용 노트북에서 중요 코드가 직접 배포됩니다.

• 거버넌스 및 자금 조달 결정은 Discord 투표를 통해 이루어집니다.

이런 실수로 인해 프로젝트 팀은 공격의 쉬운 표적이 되었습니다.

코드 방어만으로는 현대적 공격으로부터 보호하기에 충분하지 않습니다.

"스마트 컨트랙트 감사 만 통과하면 시스템은 안전하다"는 것이 통념이지만, 현실은 정반대입니다. 해커는 솔리디티의 제로데이 취약점을 뚫을 필요조차 없습니다. 내부자에 침투하여 프로젝트 전체를 마비시킬 수 있습니다.

2025년 5월, 코인베이스는 해커가 해외 고객 서비스 직원에게 뇌물을 주고 고객 데이터를 유출한 사건으로 1억 8천만 달러에서 4억 달러에 달하는 배상 및 갈취 리스크 에 직면했습니다. 바이낸스와 크라켄에도 동일한 수법을 적용하려 시도했습니다.

이런 사건들은 기술적 오류가 아니라 인간의 실수였습니다.

Web3의 일상 업무는 해커의 천국이 되었습니다.

Web3 팀의 현재 일상 업무는 해커의 꿈과 같습니다.

• 공식적인 온보딩 프로세스 없음

• 장치 관리 및 엔드포인트 보호 없음

• 암호화되지 않은 Google Docs 또는 Notion에 저장된 주요 거버넌스 및 재무 회의록

• 사고가 발생할 경우 대응 계획이 없으며, 일시적인 조정을 위해서는 Discord에만 의존할 수 있습니다.

더욱 우려스러운 점은 일부 DAO가 수억 달러 상당의 자산을 관리하면서도 아마추어 디스코드 투표와 '주말 다중 서명'을 거버넌스에 활용하고 있으며, 보안 취약성은 도둑에게 문을 여는 것과 같다는 것입니다.

기존 금융은 수십억 달러 규모의 자산을 어떻게 보호할 수 있을까요? Web3는 아직 배워야 할 것이 많습니다.

전통적인 금융기관(TradFi) 역시 북한 해커와 전 세계적인 사이버 공격의 압박 대면 하지만, 체계적인 방어와 성숙한 보안 문화에 의지해 이 때문에 문을 닫는 경우는 드뭅니다.

은행의 내부 시스템은 다음과 같습니다.

• 직원들은 개인 기기에서 거래를 수행할 수 없습니다.

• 엄격한 신원 및 장치 관리

• 명확한 업무 분담 및 책임 분리

• 정기적으로 사고 대응 계획을 연습하세요

이는 단순히 규정 준수를 위한 것이 아니라 생명을 구하는 방법이기도 합니다. Web3가 장기적으로 진정으로 발전하려면 이러한 시스템에서 배우고 탈중앙화 의 특성에 부합하는 포괄적인 보안 프레임 구축해야 합니다.

보안은 선택 사항이 아니어야 하며 Web3에는 완전한 문화적 개편이 필요합니다.

최첨단 프로젝트 몇 가지가 소개되었습니다.

• 표준화된 OPSEC 지침

• 레드팀 시뮬레이션

• 다중 서명 거버넌스를 갖춘 하드웨어 지갑 사용

• 신원조회 및 신원확인 메커니즘

• 안전 전문가와 외부 컨설턴트가 현장에 상주합니다.

안타깝게도 이런 조치는 업계에서 일반적인 관행이라기보다는 예외적인 사례로 남아 있습니다.

탈중앙화 무책임에 대한 변명이 될 수 없습니다.

웹 3.0 보안이 뒤처지는 핵심 이유 중 하나는 "탈중앙화"와 "보안 제어" 사이의 모순입니다. 많은 팀이 예산 부족, 높은 직원 이직률, 심지어 정보 보안에 대한 문화적 저항을 겪고 있으며, "방화벽을 설치하는 것은 중앙화"라고 생각합니다.

하지만 현실은 냉혹합니다. 북한 해커들은 이미 시스템 내부에 침투해 있으며, 세계 경제는 점차 블록체인 기반으로 구축되고 있습니다.

Web3가 이러한 느슨한 운영을 계속 용인한다면, 해커와 사기 집단은 계속해서 Web3를 "영구적인 자금줄"로 간주할 것입니다. 출혈을 막으려면 완벽한 코드를 작성하는 것이 아니라 더욱 성숙한 조직 보안 문화를 구축해야 합니다.

암호화폐 결제의 미래에 대해 이야기할 때, 우리는 실제로 다음과 같은 중요한 질문을 던집니다. 암호화폐 세계에 진정한 해결책은 무엇일까요? 카드 결제일까요, 아니면 중개 거래소 없이 간편하게 출금할 수 있는 결제일까요? 이 글은 세 명의 시장 참여자의 관점에서 이 질문과 잠재적인 해답을 제시합니다.

실패는 아니지만 전환의 끝: Infini가 U 카드를 포기한 이유는 무엇일까?

며칠 전, 암호화폐 결제 스타트업 인피니(Infini)가 개인 사용자 암호화폐 금융 카드(U카드) 업무 종료를 발표하며 외부의 안타까움을 샀습니다. 하지만 업계 관계자들에게는 이러한 상황이 오래전부터 예견되었던 것처럼 보였습니다.

( 인피니, 암호화폐 금융카드 서비스 종료 발표: U카드는 기존 금융 결제 채널에 의해 차단될 운명일까? )

어제 블록비츠(Theblockbeats) 과의 인터뷰 에서 Infini 공동 창립자 Junzhu는 U 카드가 효과적이기는 하지만 "사용자가 DeFi 수입을 간편하게 만들 수 있도록 돕는다"는 회사의 원래 의도와는 상반된다고 말했습니다.

U 카드는 실제로 스테이블코인을 미국 달러로 교환한 후, 이를 기존 금융 시스템에 스와이프하는 방식입니다. 이는 역사적으로 후퇴한 행보입니다.

높은 규정 준수 비용, 길고 복잡한 환불 절차, 그리고 TVL이 카드 소지자 수에 맞춰 성장하지 않는다는 사실로 인해 팀은 결국 U 카드 업무 실제로는 "우리가 해야 할 일은 사용자가 재정을 관리하도록 돕는 데 집중하는 것"이라는 방향에서 벗어난 에피소드라는 것을 깨달았습니다.

인피니가 포기한 것은 결제 수요가 없었기 때문이 아니라, "카드가 최종 해결책이 아니라 현상 유지에 대한 타협일 뿐"이라는 것을 깨달았기 때문입니다.

U카드의 사용 시나리오는 단지 과도기적 솔루션일 뿐이며, 미래에는 스테이블코인으로 직접 결제가 이루어질 것입니다.

스테이블코인 기반 결제: 암호화폐 세계의 진정한 종말

공주가 말한 최종 목표는 "사용자가 더 이상 자금을 인출하거나 카드를 사용할 필요 없이, 지갑에서 토큰을 전송하여 결제할 수 있다"는 것입니다. 처음에는 다소 무리하게 들릴 수 있지만, 텔레그램 미니앱부터 중국 JD.com에 이르기까지 점점 더 많은 플랫폼이 스테이블코인 결제를 자사 제품 경험에 기본적으로 통합하려는 시도를 하고 있는 것 같습니다.

우톡(Wu-Talk) Blockchain의 편집장인 콜린 우는 자신의 3중 계층 이론에서 온체인 기본 생태계(BTC, DeFi 등)를 나타내는 암호화폐 분야의 "가장 안쪽 계층"은 포화 상태이지만, 스테이블코인, 결제, 청산과 같은 "두 번째 계층" 애플리케이션은 여전히 ​​무한한 잠재력을 가지고 있다고 지적했습니다.

돌이켜보면, 이는 "3층"의 전통적인 금융에서는 할 수 없는 일입니다. 또한 가장 안쪽의 계층이 외부로 공격하기도 어렵고, 2층에서 하는 일만 잘할 수 있습니다.

(JD.com 창업자 류창둥, 스테이블코인 개발 계획…국경 간 결제 비용 90% 절감, 환전 10초 내 완료 )

이러한 혁신은 탈중앙화 슬로건을 내세우면서도 기존 아키텍처로 회귀하는 제품 모델을 지양해야 합니다. 진정한 암호화폐 기반 결제는 온체인 송수신 및 확인되어야 하며, 사용자는 카드에서 돈을 인출하여 은행에서 정산하는 대신 스테이블코인으로 즉시 결제해야 합니다.

심리적 장벽은 기술적 장벽만큼 중요합니다. 신용카드 토큰 보상은 좋은 생각일까요?

프린세스와 콜린의 제품 및 산업 관찰과 비교했을 때, 암호화폐 전문가 @VannaCharmer 는 행동 금융학의 관점에서 출발하여 Coinbase One Card를 예로 들며 "신용 카드 포인트를 사용하여 리스크 자산에 자동으로 투자하는 것"이 ​​매우 좋은 아이디어라고 강조했습니다. 이는 "포인트는 돈이 아니다"라는 사용자의 심리적 착각을 이용하여 암호화폐 세계 진입 장벽을 낮추기 위한 것입니다.

심리적 전략이 효과적입니다. 신용카드 포인트는 애초에 내 것이 아니었던 "공짜 돈"처럼 느껴집니다. 투자 계좌에서 500달러를 잃는 것보다 포인트에서 500달러를 잃는 것이 훨씬 덜 고통스럽습니다. 개념은 같지만요.

( 코인베이스·아메리칸 익스프레스 신용카드 출시, 연회비 50mg에 비트코인 ​​4% 소비 리베이트·여행보험 혜택 제공 )

이는 광의로 보면 암호화폐 기반의 결제 상품은 아니지만, 암호화폐 결제의 궁극적인 목표를 달성하려면 기술과 판매자 측면만 이야기하는 것이 아니라 사용자가 시장에 진입하고 사용하려는 의지를 가져야 진정한 대중화가 보장된다는 것을 보여주는 매우 좋은 사례 연구입니다.

중개자 배제 및 온체인 결제의 미래로의 전환

공주의 "암호화폐 결제가 은행 시스템으로 복귀하는 것을 허용해서는 안 된다"는 말을 떠올려 보면, 이는 단순히 제품 디자인만을 의미하는 것이 아니라, 암호화폐 업계 전체가 스스로를 어떻게 정의해야 하고 어떤 방향으로 나아가야 하는지에 대한 고민을 하게 됩니다. 기존 금융의 경계에서 웹 2.0 게임플레이를 계속 모방해야 할까요? 아니면 자체 결제 시스템을 재구축해야 할까요?

( ABCDE Capital의 퇴장 이후에 쓰여진 글: VC들이 잇따라 떠나면, 암호화폐에 대해 건설할 가치가 있는 미래가 여전히 있을까? )

U 카드는 실수도 아니고 최종적인 답도 아니지만, 혁신적인 디자인의 가능성을 여전히 열어줍니다. 앞으로 암호화폐 결제가 널리 채택되어 더 이상 "암호화폐 결제"라고 따로 부를 필요가 없게 되는 날이 오기를 기대합니다.