Web3 보안 회사인 Kerberus의 최근 보고서에 따르면, 이제 Web3에서 가장 큰 위험 원인은 인간의 행동인 것으로 나타났습니다.
BeInCrypto에서는 사용자들이 계속해서 공격의 희생자가 되는 이유와 자신을 보호하기 위해 할 수 있는 일을 알아보기 위해 회사의 CEO인 알렉스 카츠와 CTO인 다노르 코헨과 인터뷰를 진행했습니다.
Kerberus 보고서에 따르면 인적 오류로 인해 Web3에서 막대한 손실이 발생한다고 합니다.
Kerberus는 "인간적 요소 - 실시간 보호는 Web3의 잊혀진 보안 계층(2025)"이라는 제목의 최신 보고서에서 인간 중심 공격이 Web3에서 가장 위험한 유형이라고 밝혔습니다.
보고서는 업계 손실의 상당 부분이 사용자 오류에서 비롯된다는 데이터를 인용합니다. 2024년 암호화폐 도난의 약 44%는 개인 키의 부적절한 관리로 인해 발생했습니다. 또 다른 연구에 따르면 보안 침해의 약 60%는 인적 오류로 인해 발생하는 것으로 나타났습니다.
2025년까지 8억 2천만 개의 활성 지갑이 생성될 것으로 예상되는 가운데, 위협 환경은 빠르게 확대되고 있으며 모두가 위험에 노출되어 있습니다 . 카츠는 BeInCrypto와의 인터뷰에서 악의적인 행위자들이 초보자와 베테랑 모두를 표적으로 삼고 있지만, 그 이유는 매우 다르다고 말했습니다.
그는 "새로운 사용자는 Web3에서 일반적인 행동이 무엇인지 아직 이해하지 못하기 때문에 관심을 갖습니다."라고 말했습니다.
특히, 해당 임원은 기존 사용자가 신규 사용자보다 점점 더 높은 가치의 타깃이 되고 있다고 언급했습니다. 그에 따르면,
베테랑 사용자는 더 많은 dApp을 사용하고, 더 많은 거래를 체결하고, 더 많은 금액을 이동합니다. 즉, 한순간의 부주의가 훨씬 더 큰 손실을 초래할 수 있습니다. 따라서 오늘날 가장 취약한 집단은 자신이 위험에 취약하지 않다고 생각하는 사람들입니다.
코헨은 웹 3에 대한 가장 큰 오해 중 하나는 보안 실패가 사용자가 기술을 이해하지 못해서 발생한다는 생각이라고 덧붙였습니다. 하지만 그의 분석은 정반대입니다. 시스템이 사용자에게 비현실적인 부담을 주기 때문에 사람들이 해킹당하는 것입니다.
"사용자들은 '나는 해킹당할 만큼 똑똑해. 지갑 작동 방식을 알고 있으니까 안전해.'라고 생각합니다. 하지만 위협 환경은 사용자보다 빠르게 변합니다. 해커들은 당신의 지갑을 속이려는 것이 아니라, 당신을 속이려 합니다. 그리고 그들은 그 일에 매우 능숙합니다. 사람들이 오해하는 것은 웹 3.0이 개인에게 엄청난 지적 부담을 준다는 것입니다. 사용자는 안전을 위해 기술적 신호를 해독할 필요가 없습니다. 보안이 자동으로 작동해야 합니다."라고 그는 말했습니다.
똑똑한 Web3 사용자조차 2025년에도 여전히 돈을 잃고 있는 이유
2025년 보안 지출이 사상 최고치를 기록했음에도 불구하고 이러한 인적 위험은 여전히 존재합니다. Kerberus 보고서에 따르면 암호화폐 관련 서비스와 투자자들은 상반기 해킹 및 사기 로 인해 31억 달러 이상의 손실을 입었습니다. 이는 이미 2024년 전체 손실을 넘어선 수치입니다.
이 수치에는 역사적인 Bybit 침해 사고가 포함됩니다. 이를 제외하더라도 피싱 및 소셜 엔지니어링과 같은 인적 공격은 여전히 6억 달러를 차지했습니다. 이는 나머지 16억 4천만 달러 손실의 37%에 해당합니다.
보고서는 이러한 공격이 사용자 증가에 따라 증가하고 기술적 보안 시스템을 완전히 우회하기 때문에 기존 보안 모델로는 예방하기 어렵다고 지적합니다.
기업들이 감사, 모니터링, 코드 테스트에 막대한 투자를 하는 반면, 공격자들은 거래 단계에서 사용자를 직접 악용하는 사례가 점점 더 늘고 있습니다. 그렇다면 인간이 이러한 공격에 취약한 이유는 무엇일까요?
"인간은 취약한 존재입니다. 모든 사기는 자연스러운 심리적 지름길, 즉 긴박감, 권력, 익숙함, 놓칠까 봐 두려워하는 마음, 또는 일상의 편안함을 이용하도록 설계되기 때문입니다. 이것들은 약점이 아니라, 일상생활에서 우리가 기능하도록 돕는 본능입니다. 기술은 인간의 심리를 바꿀 수는 없지만, 심리가 무기화되는 순간을 포착할 수는 있습니다."라고 코헨은 자세히 설명했습니다.
그는 가장 강력한 보호 형태는 사용자가 교육을 통해 실수를 피할 수 있도록 하는 것이 아니라, 피해가 발생하기 전에 해로운 행동을 예방하는 것이라고 강조했습니다.
"그래서 실시간 탐지가 매우 중요합니다. 사용자의 신뢰가 훼손되는 정확한 순간에 사용자에게 경고할 수 있다면, 대부분의 피해를 사전에 예방할 수 있습니다."라고 코헨은 덧붙였습니다.
CEO는 일반 사용자가 악성 dApp, 에어드랍, 또는 민트 사이트를 구별할 수 있기를 기대하는 것은 비현실적이라고 강조했습니다. 최신 위조 플랫폼은 종종 합법적인 플랫폼과 똑같이 생겨서 거의 구분하기 어렵습니다.
그는 사용자들이 피싱 링크를 여러 번 클릭할 수 있다고 덧붙였습니다. 이는 부주의 때문이 아니라, 공격이 속이기 위해 고안되었기 때문입니다.
실시간 알림조차도 때로는 거짓 경보로 나타날 수 있는데, 이는 이러한 사기의 정교함을 드러냅니다.
코헨은 "사용자에게 세부적인 검증을 강요해서는 안 됩니다. 그 부담은 실시간 의도 및 행동 분석으로 옮겨져야 합니다."라고 제안합니다.
보고서는 또한 이러한 공격이 사용자가 위험을 판단하기 어려운 순간을 악용한다고 밝혔습니다. 예를 들어, 업무 중 딴생각에 빠져 지갑을 확인하거나, 계좌가 곧 동결된다는 긴급 메시지에 응답하거나, 긴 하루를 마치고 피곤한 상태에서 거래를 승인하는 경우가 있습니다.
조사 결과에 따르면 업계의 대응은 대체로 경고 및 검증 단계를 추가하는 것이었습니다. 그러나 이러한 접근 방식은 "보안 피로"로 인해 종종 역효과를 낳습니다. 사용자들이 끊임없는 경고(대부분은 사용자의 속도를 저하시키는 오탐지)에 익숙해지면서, 지속적인 압박 속에서 신중한 결정을 내리는 능력이 저하됩니다.
Web3에서 보안을 강화하기 위해 사용자가 취할 수 있는 3가지 조치
카츠는 실무에서 손실을 최소화하기 위해 사용자가 채택할 수 있는 세 가지 방법을 제시했습니다. 그는 사용자에게 다음을 권장합니다.
- 서명 전 잠시 멈추세요: 대부분의 침해는 10초 이내에 발생합니다. 잠시 시간을 내어 요청을 주의 깊게 읽거나 요청이 의도한 작업과 일치하는지 확인하면 대부분의 성공적인 공격을 예방할 수 있습니다.
- 고가치 자산과 일상 활동 분리: 여러 개의 지갑을 사용하는 것은 여전히 가장 효과적인 보호 방법 중 하나입니다. 그는 사용자들이 콜드 월렛이나 덜 사용되는 지갑에 장기 투자를 유지하고, 토큰 채굴, dApp 탐색 및 발행을 위해 별도의 지갑을 사용할 것을 제안합니다. 이러한 분리는 잠재적 손실을 제한하는 데 도움이 됩니다.
- 실시간 거래 보호에 의존하세요. 많은 위협이 기술적 악용보다는 소셜 엔지니어링을 수반하기 때문에, 사용자는 온체인 작업이 완료되기 전에 해당 작업을 설명하는 도구를 활용할 수 있습니다. 이러한 단일 방어막은 더 복잡한 사기를 차단합니다.
그는 사용자를 보안 전문가로 만드는 것이 목적이 아니라, 실수가 재정적 손실로 이어지는 것을 방지하는 장벽을 구축하는 것이라고 강조했습니다.
