보고서에 따르면 2025년 웹3 분야에서 630건의 보안 사고가 발생하여 총 약 33억 5천만 달러의 손실이 발생할 것으로 예상되며, 이는 2024년 대비 37% 증가한 수치입니다 . 사고 건수는 전년 대비 137건 감소했지만 , 공격당 평균 손실액은 532만 2천 달러에 달해 전년 대비 66.6% 급증했습니다 . 이는 공격자들이 고가치 목표물을 집중적으로 노리는 추세를 보여줍니다.
기사 작성자 및 출처: CertiK
웹3 산업은 시장 환경 회복과 더욱 명확해진 규제 기대치 속에서 발전을 가속화하고 있지만, 보안 리스크 해소되지 않았으며 여전히 시스템적인 보안 문제에 직면해 있습니다.
주요 데이터
- 2월은 58건의 사고로 약 15억 4천만 달러의 손실이 발생하여 한 해 중 최악의 달이었으며 , 그 손실의 대부분은 바이비트(Bybit) 사고에서 비롯되었습니다.
- 2025년 1분기에는 해킹, 사기 및 악용 사건 200건으로 약 16억 7천만 달러의 손실이 발생하여 가장 큰 피해를 입었습니다 . 2분기에 발생한 손실액은 전 분기 대비 약 52% 감소했습니다 .
- 2025년에는 공급망 공격이 가장 큰 피해를 입힌 공격 유형으로, 단 두 건의 사건으로 약 14억 5천만 달러의 손실이 발생했으며 , 이는 한 해 동안 도난당한 총액의 거의 절반 에 해당합니다 .
- 피싱 공격이 그 뒤를 바짝 쫓으며 248건의 사건으로 약 7억 2천만 달러 의 손실을 초래했고, 이는 2025년 가장 빈번한 공격 방식이 되었으며, 코드 취약점 공격(240건)보다 약간 높은 수치입니다.
- 여러 유통망에 걸쳐 발생한 이러한 취약점으로 인해 약 4억 6천만 달러 의 손실이 발생했으며, 29건의 보안 사고와 연관되어 있습니다.
공급망 공격으로 연간 손실액 증가
공격 유형별로 살펴보면, 2025년에는 공급망 공격이 가장 큰 리스크 원인으로 나타났습니다. 한 해 동안 단 두 건의 공격만 발생했지만, 누적 손실액은 14억 5천만 달러 에 달해 연간 총 손실액 의 거의 절반을 차지했습니다 . 특히 2월에 발생한 바이빗(Bybit) 공격이 이러한 손실의 대부분을 차지했습니다.
2025년 2월 바이비트(Bybit)에서 발생한 보안 사고로 약 14억 달러의 손실이 발생했으며, 이는 현재까지 가장 큰 규모의 암호화폐 자산 탈취 사건 중 하나로 꼽힙니다. 공격자들은 거래소 시스템에 직접 침입한 것이 아니라, 제3자 다중 서명 지갑 서비스 제공업체의 개발자 환경을 해킹하여 서명 과정에 악성 코드를 삽입함으로써 여러 승인 절차를 우회했습니다.
보고서는 유사한 사건들이 공격자들이 특정 프로토콜 자체보다는 핵심 서비스 제공업체와 기본 도구에 자원을 집중하고 있음 을 반영하며 , 공급망 보안이 무시할 수 없는 시스템 리스크 되었음을 지적합니다.
피싱 공격이 만연하고 있으며, AI는 이러한 공격을 "증폭"하는 역할을 하고 있습니다.
공격 빈도 측면에서 볼 때, 피싱은 2025년에도 여전히 가장 흔한 보안 위협으로 남아 있습니다. 한 해 동안 총 248건의 피싱 공격이 기록되었으며, 이로 인해 약 7억 2천만 달러 의 손실이 발생했습니다.
하지만 이 수치는 여전히 과소평가되었을 가능성이 있습니다. 특히 손실 규모가 작거나 오프체인에서 발생하는 소셜 엔지니어링 공격과 같이 개인 사용자를 대상으로 하는 대량 피싱 및 사기 행위는 보고되지 않습니다.
인공지능(AI)의 광범위한 도입으로 피싱 공격의 기술적 장벽이 크게 낮아지고 있습니다. 공격자들은 AI를 활용하여 매우 사실적인 피싱 웹사이트, 지갑 팝업, 다국어 사기 메시지를 생성하고, 이를 온체인 데이터 및 소셜 미디어 콘텐츠와 결합하여 "정밀 타겟팅 "을 시도하고 있습니다. 문법 오류나 템플릿 특징에 의존하는 기존 방어 방식은 점차 효과를 잃어가고 있습니다.
규제가 명확해짐에 따라 안전은 "비용 항목"에서 "인프라"의 핵심 요소로 전환되고 있습니다.
리스크 상승 가운데, 글로벌 규제 환경은 긍정적인 변화를 겪고 있습니다. 미국에서 스테이블코인 및 디지털 자산의 투명성에 관한 입법 진전은 업계에 더욱 명확한 정책 신호를 보내고 있으며, EU의 MiCA 프레임 와 싱가포르 및 홍콩의 규제 샌드박스 또한 웹3를 보다 표준화된 개발 단계로 이끌고 있습니다.
기관 투자자와 규제 준수 자금의 지속적인 유입으로 보안 역량은 '사고 후 복구'에서 프로젝트 설계 및 운영의 핵심 요소로 자리 잡고 있습니다. 프로젝트 소유자와 개인 사용자 모두에게 보안은 더 이상 선택 사항이 아니라 장기적인 사업 지속 가능성에 영향을 미치는 핵심 변수입니다.
내년에는 AI 기반 스푸핑 공격, 정교한 공급망 침입, 그리고 개별 사용자를 대상으로 하는 소셜 엔지니어링 공격이 계속해서 진화할 것입니다. 이러한 배경 속에서 아키텍처 설계, 개발 프로세스, 그리고 사용자 경험에 보안을 내재화한 프로젝트는 차세대 웹3 경쟁에서 두각을 나타낼 가능성이 높습니다.
결론
세계 최대의 웹3 보안 기업인 CertiK는 오랫동안 보안 사고 분석, 보안 가이드라인, 보안 보고서 등 업계에 중요한 보안 정보를 제공해 왔습니다. CertiK의 보안 보고서는 발간 후 업계의 큰 주목을 받으며 CoinDesk, Cointelegraph와 같은 주요 웹3 미디어 매체에 빠르게 보도되고 인용됩니다.
이 글 말미에 있는 " 원본 링크 " 를 클릭하시면 더욱 포괄적인 분석, 통찰력 및 권장 사항이 담긴 "2025 Skynet Hack3D Web3 보안 보고서" 전문을 읽으실 수 있습니다 .
