오리지널

CertiK 연례 보안 보고서: 2025년 웹3 손실 전년 대비 37% 증가 예상, 피싱 공격 및 공급망 사고가 주요 위협으로 부상

avatar
CertiK
12-24
이 기사는 기계로 번역되었습니다
원문 표시

세계 최대 웹3 보안 기업인 서티크(CertiK)는 12월 23일, 지난 한 해 동안 웹3 분야에서 발생한 주요 보안 사고와 리스크 추세를 체계적으로 분석한 "2025 스카이넷 Hack3D 웹3 보안 보고서"를 발표했습니다. 보고서는 시장 회복세와 명확해진 규제 기대 속에 웹3 산업이 빠르게 성장하고 있지만, 보안 리스크 그에 상응하게 줄어들지 않고 여전히 시스템적인 보안 문제에 직면해 있다고 지적합니다.

보고서에 따르면 2025년 웹3 분야에서 630건의 보안 사고가 발생하여 총 약 33억 5천만 달러의 손실이 발생할 것으로 예상되며, 이는 2024년 대비 37% 증가한 수치입니다. 사고 건수는 전년 대비 137건 감소했지만, 공격당 평균 손실액은 532만 2천 달러에 달해 전년 대비 66.6% 급증했습니다. 이는 공격자들이 고가치 목표물을 집중적으로 노리는 추세를 보여줍니다.

공급망 공격으로 연간 손실액 증가

공격 유형별로 살펴보면, 2025년에는 공급망 공격이 가장 큰 리스크 원인으로 나타났습니다. 한 해 동안 단 두 건의 공격만 발생했지만, 누적 손실액은 14억 5천만 달러에 달해 연간 총 손실액의 거의 절반을 차지했습니다. 특히 2월에 발생한 바이빗(Bybit) 공격이 이러한 손실의 대부분을 차지했습니다.

보도에 따르면, 바이비트(Bybit)는 2025년 2월에 약 14억 달러 규모의 손실을 초래한 보안 사고를 겪었으며, 이는 현재까지 가장 큰 규모의 암호화폐 자산 도난 사건 중 하나로 여겨집니다. 공격자들은 거래소 시스템에 직접 침입한 것이 아니라, 제3자 다중 서명 지갑 서비스 제공업체의 개발자 환경을 해킹하여 서명 과정에 악성 코드를 삽입함으로써 여러 승인 절차를 우회했습니다.

CertiK는 보고서에서 유사한 사건들이 공격자들이 특정 프로토콜 자체보다는 핵심 서비스 제공업체와 기본 도구에 자원을 집중하고 있음을 반영하며, 공급망 보안이 무시할 수 없는 시스템적 리스크 되었다고 지적했습니다.

피싱 공격이 만연하고 있으며, AI는 이러한 공격을 "증폭"하는 역할을 하고 있습니다.

공격 빈도 측면에서 볼 때, 피싱은 2025년에도 가장 흔한 보안 위협으로 남을 것입니다. 보고서에 따르면 한 해 동안 총 248건의 피싱 공격이 발생하여 약 7억 2,300만 달러의 손실을 초래했으며, 이는 코드 취약점 공격(240건)보다 약간 많은 수치입니다.

CertiK은 이 수치가 여전히 과소평가되었을 가능성이 있다고 보고 있다는 점에 주목할 필요가 있습니다. 특히 손실 규모가 작은 소셜 엔지니어링 공격이나 오프체인에서 발생하는 공격처럼 개인 사용자를 대상으로 하는 대량 피싱 및 사기 행위가 보고되지 않고 있습니다.

보고서는 인공지능의 광범위한 도입으로 피싱 공격의 기술적 장벽이 크게 낮아지고 있음을 강조합니다. 공격자들은 인공지능을 활용하여 매우 사실적인 피싱 웹사이트, 지갑 팝업, 다국어 사기 메시지를 생성하고, 이를 온체인 데이터 및 소셜 미디어 콘텐츠와 결합하여 "정밀 타겟팅"을 시도하고 있습니다. 문법 오류나 템플릿 특징에 의존하는 기존 방어 방식은 점차 효과를 잃어가고 있습니다.

규제가 명확해짐에 따라 안전은 "비용 항목"에서 "인프라"의 핵심 요소로 전환되고 있습니다.

리스크 상승 있는 가운데, 보고서는 글로벌 규제 환경의 긍정적인 변화도 지적합니다. 스테이블코인 및 디지털 자산의 투명성에 관한 미국의 입법 진전은 업계에 더욱 명확한 정책 신호를 보내고 있으며, EU의 MiCA 프레임 와 싱가포르 및 홍콩의 규제 샌드박스 또한 웹3를 보다 표준화된 개발 단계로 이끌고 있습니다.

CertiK 보고서는 기관 및 규제 기관의 자금 지원이 시장에 지속적으로 유입됨에 따라 보안 역량이 "사고 후 복구"에서 프로젝트 설계 및 운영의 핵심 요소로 자리 잡고 있다고 지적합니다. 프로젝트 소유자와 개별 사용자 모두에게 보안은 더 이상 선택 사항이 아니라 장기적인 사업 지속 가능성에 영향을 미치는 중요한 변수입니다.

보고서는 인공지능 기반 스푸핑 공격, 점점 더 정교해지는 공급망 침입, 그리고 개별 사용자를 대상으로 하는 소셜 엔지니어링 공격이 내년에도 계속 진화할 것이라고 지적하며 결론을 맺습니다. 이러한 배경 속에서 아키텍처 설계, 개발 프로세스, 그리고 사용자 경험에 보안을 내재화한 프로젝트가 차세대 웹3 경쟁에서 성공할 것입니다.

전체 보고서: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠