Web3 보안 회사인 Kerberus의 최근 보고서에 따르면, Web3에서 가장 큰 위험은 이제 인간의 행동이라고 합니다.
비인크립토(BeInCrypto) 사용자들이 계속해서 공격의 희생자가 되는 이유와 자신을 보호하기 위해 할 수 있는 일을 알아보기 위해 회사의 CEO인 알렉스 카츠와 CTO인 다노르 코헨과 인터뷰를 진행했습니다.
Kerberus 보고서, 인적 오류로 인해 Web3에서 대규모 손실 발생
Kerberus는 "인적 요소 - 실시간 보호는 Web3 사이버 보안의 숨겨진 측면(2025)"이라는 제목의 최신 보고서에서 인간 중심 공격이 Web3에서 구조적으로 가장 위험한 벡터라고 밝혔습니다.
보고서는 업계 손실의 상당 부분이 사용자 실수로 인해 발생한다는 데이터를 인용합니다. 2024년 암호화폐 도난의 약 44%는 개인 키 관리 부실로 인해 발생했습니다. 또 다른 연구에 따르면 보안 침해의 약 60%는 인적 오류로 인해 발생합니다.
2025년에는 8억 2천만 개의 활성 지갑이 존재하며, 위협 환경은 빠르게 확대되고 있으며 모든 사람이 위험에 노출되어 있습니다 . 카츠는 비인크립토(BeInCrypto) 인터뷰에서 악의적인 행위자들이 신규 사용자와 숙련된 사용자 모두를 표적으로 삼고 있지만, 그 이유는 매우 다르다고 말했습니다.
그는 "새로운 사용자는 '정상적인' Web3 동작이 어떤 것인지 아직 이해하지 못하기 때문에 매력적입니다."라고 말했습니다.
흥미롭게도, 그 임원은 기존 사용자가 신규 사용자에 비해 점점 더 높은 가치의 타깃이 되고 있다고 언급했습니다. 그에 따르면,
베테랑 사용자들은 훨씬 더 많은 디앱(DApp) 사용하고, 더 많은 거래를 체결하고, 더 많은 금액을 이동합니다. 즉, 한순간의 안일함이 훨씬 더 큰 피해를 초래할 수 있다는 것을 의미합니다. 따라서 오늘날 가장 위험에 처한 집단은 자신이 위험에 처하지 않았다고 생각하는 사람들입니다.
코헨은 웹 3.0의 가장 큰 오해 중 하나는 보안 실패가 사용자가 기술을 이해하지 못해서 발생한다는 생각이라고 덧붙였습니다. 하지만 그의 분석은 정반대입니다. 사람들이 해킹당하는 이유는 시스템이 비현실적인 부담을 주기 때문입니다.
"사용자들은 '난 똑똑해서 돈 안 들어가. 지갑 작동 원리는 알아. 안전해.'라고 생각합니다. 하지만 위협 환경은 사용자보다 빠르게 변합니다. 공격자는 지갑을 속이려는 게 아니라, 당신을 속이려는 겁니다. 그리고 그들은 그 일에 매우 능숙합니다. 사람들이 오해하는 점은 웹 3.0이 개인에게 엄청난 인지적 부담을 준다는 것입니다. 사용자는 안전을 위해 기술적 신호를 해독할 필요가 없습니다. 보안이 자동으로 작동해야 합니다."라고 그는 말했습니다.
똑똑한 Web3 사용자조차 2025년에도 계속 지쳐가는 이유
2025년 보안 지출이 기록적으로 증가했음에도 불구하고, 이러한 인간 중심적 위험은 여전히 존재합니다. Kerberus 보고서에 따르면 암호화폐 관련 서비스와 투자자들은 상반기에 해킹과 사기 로 31억 달러 이상의 손실을 입었습니다. 이는 이미 2024년 전체 손실을 넘어선 수치입니다.
이 수치에는 역사적인 바이비트(Bybit) 침해 사고가 포함됩니다. 이를 제외하더라도 피싱 및 소셜 엔지니어링과 같은 인적 공격은 여전히 6억 달러를 차지했습니다. 이는 나머지 16억 4천만 달러 손실의 37%에 해당합니다.
보고서는 이러한 공격이 확산됨에 따라 규모가 커지고 기술적 방어 체계를 완전히 우회한다고 지적했습니다. 이로 인해 기존 보안 모델로는 이러한 공격을 차단하기 어렵습니다.
기업들이 감사, 모니터링, 코드 검토에 막대한 투자를 하는 반면, 공격자들은 거래 단계에서 사용자를 직접 악용하는 경우가 점점 더 늘어나고 있습니다. 그렇다면 인간이 이러한 공격에 그토록 취약한 이유는 무엇일까요?
"인간은 취약한 존재입니다. 모든 사기는 자연스러운 심리적 지름길, 즉 긴박감, 권위, 익숙함, 놓칠까 봐 두려워하는 마음, 혹은 일상에 대한 안주를 이용하도록 설계되기 때문입니다. 이러한 것들은 결점이 아니라, 우리가 일상생활을 영위할 수 있게 해주는 본능과 같습니다. 기술만으로는 인간의 심리를 바꿀 수 없지만, 심리가 무기화되는 순간을 포착할 수는 있습니다."라고 코헨은 자세히 설명했습니다.
그는 가장 강력한 보호 형태는 사용자가 교육을 통해 실수를 피할 수 있도록 하는 것이 아니라, 피해가 발생하기 전에 실시간으로 유해한 행동을 막는 것이라고 강조했습니다.
"그래서 실시간 탐지가 매우 중요합니다. 사용자의 신뢰가 조작되는 정확한 순간에 사용자에게 경고할 수 있다면, 대부분의 손실을 사전에 막을 수 있습니다."라고 코헨은 덧붙였습니다.
해당 임원은 일반 사용자가 악성 dApp, 에어드랍, 또는 민트(Mint) 페이지를 구분할 수 있기를 기대하는 것은 비현실적이라고 지적했습니다. 현대의 사기성 플랫폼은 종종 합법적인 플랫폼과 매우 유사하기 때문에 거의 구분하기 어렵습니다.
그는 사용자들이 피싱 링크를 반복적으로 클릭할 수 있다고 덧붙였습니다. 부주의해서가 아니라, 의도적으로 속이기 위해 공격이 설계되었기 때문입니다.
실시간 경고조차도 때로는 거짓 양성으로 나타날 수 있는데, 이는 이러한 사기의 고도화된 특성을 드러냅니다.
코헨은 "사용자가 포렌식 검사를 수행할 것을 기대해서는 안 됩니다. 그 부담은 의도와 행동을 실시간으로 분석하는 도구로 옮겨져야 합니다."라고 제안했습니다.
보고서는 또한 이러한 공격이 사용자가 위협을 제대로 판단하기 어려운 순간을 악용한다고 지적합니다. 예를 들어, 업무 중 딴생각에 빠져 지갑을 확인하거나, 계좌 동결을 요구하는 긴급 메시지에 응답하거나, 긴 하루를 마치고 지친 상태에서 거래를 승인하는 경우가 있습니다.
조사 결과에 따르면 업계의 대응은 대체로 경고 및 확인 단계를 추가하는 것이었습니다. 그러나 이러한 접근 방식은 "보안 피로"로 인해 종종 역효과를 낳습니다. 사용자들이 끊임없는 경고(대부분은 단순히 속도를 늦추는 오경보)에 익숙해지면서, 지속적인 인지적 압박 속에서 신중한 결정을 내리는 능력이 약화됩니다.
Web3에서 사용자가 더 안전하게 지낼 수 있는 3가지 조치
카츠는 실제 손실을 줄이기 위해 사용자가 취할 수 있는 세 가지 방법을 공개했습니다. 그는 사용자들에게 다음과 같은 조언을 했습니다.
- 서명 전 잠시 멈추세요: 대부분의 침해는 10초 이내에 발생합니다. 프롬프트를 읽거나 요청이 의도한 작업과 일치하는지 확인하는 데 잠깐이라도 시간을 들이면 성공적인 공격의 상당 부분을 예방할 수 있습니다.
- 고가치 자산을 일상 활동과 분리하세요. 여러 개의 지갑을 사용하는 것은 여전히 가장 효과적인 안전 장치 중 하나입니다. 그는 사용자들이 장기 보유 자산을 콜드 지갑이나 로우터치 지갑에 보관하고, 탐사, 채굴, 디앱(DApp) 위한 별도의 지갑을 사용할 것을 제안했습니다. 이러한 구분은 잠재적 피해를 최소화합니다.
- 실시간 거래 보호에 의존하세요. 많은 위협이 기술적 악용보다는 소셜 엔지니어링과 관련이 있기 때문에, 사용자는 온체인 작업이 완료되기 전에 이를 해석하는 도구를 활용할 수 있습니다. 이러한 단일 방어막은 더욱 발전된 사기 수법을 대부분 차단합니다.
그는 사용자를 보안 전문가로 만드는 것이 목적이 아니라, 실수가 재정적 손실로 이어지지 않도록 보호하는 장치를 구축하는 것이라고 강조했다.
