슬로우 미스트 (SlowMist) 의 2025년 블록체인 보안 및 자금세탁 방지 연례 보고서

본 보고서는 2025년에 발생할 수 있는 일반적인 블록체인 보안 사고 및 공격 방식, APT 그룹 활동 동향, 자금 세탁 모델의 진화, 그리고 전 세계적인 규제 및 집행 진행 상황에 대한 심층 분석을 제공합니다.

저자: 슬로우 미스트 (SlowMist) Technology

지면 제약으로 인해 본 기사에서는 분석 보고서의 주요 내용만 간략하게 소개합니다. 전체 내용은 기사 말미에서 PDF 파일로 다운로드하실 수 있습니다.

I. 개요

2025년에도 블록체인 산업은 급속한 발전을 지속했습니다. 복잡한 거시경제 및 금융 환경, 규제 불확실성, 그리고 집중적인 공격이 복합적으로 작용하여 한 해 동안 보안 환경을 크게 악화시켰습니다. 특히 해커 그룹과 지하 범죄 조직은 고도의 전문성을 갖추게 되었으며, 북한 관련 해커들의 활동이 빈번해졌습니다. 정보 탈취 트로이목마, 개인 키 탈취, 그리고 소셜 엔지니어링 피싱이 주요 공격 수법으로 부상했습니다. 또한, DeFi 권한 관리 및 밈 발행 관련 문제로 막대한 손실이 반복적으로 발생했습니다. RaaS/MaaS 서비스 지향 아키텍처는 범죄자들에게 진입 장벽을 낮춰 기술적 배경이 없는 공격자도 신속하게 공격을 감행할 수 있도록 했습니다. 한편, 지하 자금 세탁 시스템은 더욱 정교해졌으며, 동남아시아 사기 집단, 개인정보 보호 도구, 코인 믹싱 시설 등이 다층적인 자금 조달 채널을 형성했습니다. 규제 측면에서는 각국이 자금세탁방지/테러자금조달방지(AML/CFT) 프레임 의 시행을 가속화했으며, 여러 국경 간 법 집행 조치를 통해 온체인 추적 및 자산 동결 의 효율성이 향상되었습니다. 규제는 점차 단일 지점 공격에서 체계적인 봉쇄로 전환되었고, 개인정보 보호 프로토콜의 법적 경계가 재정의되어 기술적 속성과 범죄적 사용을 더욱 명확히 구분하게 되었습니다.

이러한 배경에서 본 보고서는 2025년 예상되는 블록체인 보안 사고 및 공격 방식, APT 그룹 활동 동향, 자금 세탁 모델의 진화, 그리고 글로벌 규제 및 집행 진행 상황에 대한 심층 분석을 제공합니다. 본 보고서가 업계 실무자, 보안 연구원, 위험 관리 및 규정 준수 담당자에게 시의적절하고 체계적이며 통찰력 있는 보안 및 규정 준수 참고 자료를 제공하여 리스크 식별, 대응 및 예측하는 능력을 향상시키는 데 도움이 되기를 바랍니다.

II. 블록체인 보안 현황

슬로우 미스트 (SlowMist) Hacked 아카이브의 불완전한 통계에 따르면, 한 해 동안 총 200건의 보안 사고가 발생하여 약 29억 3,500만 달러의 손실이 발생했습니다. 2024년(사고 410건, 손실액 약 20억 1,300만 달러)과 비교하면 사고 건수는 크게 감소했지만, 손실액은 전년 대비 약 46% 상승.

(참고: 본 보고서의 데이터는 이벤트 발생 시점의 토큰 가격을 기준으로 합니다. 토큰 가격 변동, 일부 미공개 사건, 일반 사용자 손실 제외 등의 요인으로 인해 실제 손실액은 통계 결과보다 더 클 수 있습니다.)

보안 사고 개요

생태계 분포 측면에서 볼 때, 이더리움은 연간 약 2억 5,400만 달러의 손실을 입으며 가장 빈번하게 공격받고 가장 심각한 영향을 받는 생태계로, 점유비율 1위를 차지하고 있습니다. BSC가 약 2,193만 달러의 손실로 그 뒤를 바짝 쫓고 있으며, 솔라나는 연간 약 1,745만 달러의 손실로 3위를 기록하고 있습니다.

프로젝트 분야별로 살펴보면, DeFi 프로젝트가 가장 빈번하게 공격 대상이 되었습니다. 2025년에는 126건의 보안 사고가 발생하여 전체 사고의 약 63%를 차지했으며, 이로 인해 약 6억 4,900만 달러의 손실이 발생했습니다. 이는 2024년(사고 339건, 손실액 10억 2,900만 달러) 대비 약 37% 감소한 수치입니다. 거래 플랫폼 관련 사고는 12건에 불과했지만, 무려 18억 900만 달러의 손실을 초래했으며, 특히 Bybit은 단일 사고로 약 14억 6,000만 달러의 가장 큰 손실을 입었습니다.

공격 원인 측면에서 보면, 계약 취약점이 주요 원인으로 61건을 차지했으며, X 계정 해킹이 48건으로 그 뒤를 이었습니다.

일반적인 공격 사례

이 섹션에서는 2025년에 손실을 초래한 상위 10대 보안 공격 사건을 선정했습니다. 자세한 내용은 기사 말미의 PDF 파일을 참조하십시오.

사기 수법

다음은 2025년에 면밀히 살펴봐야 할 몇 가지 일반적이거나 새로운 유형의 사기입니다.

1. 피싱 공격

2025년에도 피싱은 여전히 ​​가장 활발한 리스크 요소 중 하나였습니다. 공격 방식은 기존의 웹사이트 복제 및 가짜 인증 페이지 방식에서 시스템 명령, 지갑 권한, 프로토콜 특성, 심지어 기기 제어까지 결합한 복잡한 기술로 진화했습니다. 과거에는 공격자가 니모닉 단어 직접 요구했지만, 오늘날의 공격은 사용자가 자신도 모르게 자산을 이체하도록 유도하는 "유도 작업"을 사용하는 경향이 있습니다. 이러한 공격 방식은 더욱 은밀하고 교묘하며, 피해자의 범위도 크게 확대되었습니다. 이 섹션에서는 ClickFix 피싱 공격, Solana 지갑 소유자 권한 변조, EIP-7702 인증 악용, Telegram "가짜 Safeguard" 사기 등 네 가지 대표적인 피싱 패턴을 중점적으로 다룹니다.

1. 사회공학적 공격

2025년에는 블록체인 보안 사고에서 소셜 엔지니어링 공격이 크게 상승 추세를 보이며, 피싱, 멀웨어, 자산 절도를 연결하는 주요 진입점으로 점차 자리 잡고 있습니다. 이러한 공격은 신분 위조, 정서 압박, 정보 비대칭 등을 이용하여 피해자가 리스크 작업을 적극적으로 수행하도록 유도함으로써 "신뢰 조작"을 핵심으로 합니다. 공격자는 자산을 직접 탈취하기보다는 여러 차례의 상호 작용을 통해 점진적으로 신뢰감을 구축한 후, 최종적으로 피해자가 멀웨어를 다운로드하거나, 개인 키를 공개하거나, 공격자가 관리하는 주소로 자산을 이체하도록 유도합니다. 이 섹션에서는 전형적인 소셜 엔지니어링 공격 기법 세 가지, 즉 취업 면접 사기, "보안 전문가" 사칭을 통한 조언 제공, 하드웨어 지갑 위조를 분석합니다.

1. 공급망 및 오픈 소스 생태계 오염

2025년에도 블록체인 보안 분야에서는 소프트웨어 공급망 공격이 활발하게 발생했습니다. 공격자들은 더 이상 잘 알려진 라이브러리나 핵심 인프라를 직접 공격하는 데 그치지 않고, 오픈 소스 프로젝트, 개발자 도구, 그리고 의존성 배포망을 공격 대상으로 삼았습니다. 이들은 악성 코드를 심어 대량 하위 사용자에게 간접적으로 피해를 입혔습니다. 이러한 공격은 단일 피해자를 목표로 삼는 것이 아니라 "신뢰할 수 있는 소프트웨어 구성 요소"를 통해 확산되는 경우가 많았습니다. 일단 공격이 시작되면 그 영향은 광범위하고, 공격의 근원을 추적하기 어려우며, 사회 공학적 기법과 결합될 가능성이 매우 높았습니다. 이 섹션에서는 2025년에 빈번하게 발생했던 여러 유형의 악성 코드 공격 사례를 자세히 분석합니다.

1. 악성 브라우저 확장 프로그램 및 확장 프로그램 생태계의 리스크

웹3 활용 사례에서 브라우저 확장 프로그램은 거의 모든 곳에서 찾아볼 수 있습니다. 지갑 플러그인, 프록시 도구, 보안 확장 프로그램, 개발자 생산성 도구 등 종류는 다양하며, 일반적으로 높은 권한, 백그라운드 실행, 자동 업데이트와 같은 기능을 제공합니다. 이러한 확장 프로그램이 변조되거나 악의적으로 사용될 경우, 사용자 모르게 데이터를 탈취하거나 심지어 자산 손실을 초래할 수도 있습니다. 이 섹션에서는 웹3 환경에서 브라우저 확장 프로그램의 보안 리스크 요약하고 대표적인 사례 연구를 통해 분석합니다.

1. 인공지능 기술을 이용한 공격

지난 2년간 생성형 AI가 급속도로 인기를 얻으면서 공격자들은 이를 사기 및 공격 수법에 악용하기 시작했습니다. 기존 도구와 비교했을 때, AI의 텍스트, 음성 합성, 이미지 및 비디오 생성 기능은 사기 비용을 크게 줄여줍니다. 공격은 더 이상 조잡한 수사나 명백히 비정상적인 행동에 의존하지 않고, 매우 사실적인 콘텐츠, 일관된 상호 작용, 그리고 정밀한 객체 선택에 의존하기 때문에 피해자가 리스크 감지하기가 심리적으로 더욱 어려워집니다. 이 섹션에서는 암호화 자산 및 기업 보안 시나리오에서 생성형 AI 오용의 리스크 요약합니다.

1. 폰지 사기

2025년에도 디지털 자산 사기 유형 중 가장 만연한 형태는 여전히 폰지 사기일 것입니다. 전통적인 폰지 사기와 달리, 새로운 유형의 프로젝트들은 "블록체인 금융", "빅데이터 기술", 또는 "국제 거래 플랫폼" 등으로 위장하여, 단계별 수수료 구조를 통해 빠르게 확장하는 경향이 있습니다. 본 절에서는 2025년의 대표적인 디지털 자산 폰지 사기 사례인 신캉자 DGCX의 운영 모델과 리스크 특성을 분석합니다.

III. 자금세탁 방지 전략

이 섹션은 주로 자금세탁 방지 및 규제 동향, 동결 데이터, 사이버 범죄 조직 및 지하 네트워크 생태계의 세 가지 부분을 다룹니다.

자금세탁 방지 및 규제 동향

1. 법 집행 및 제재 조치
   2025년에는 글로벌 암호화 자산 부문에서 규제 및 제재 조치가 크게 강화될 것으로 예상됩니다. 각국의 규제 및 집행 기관은 단순히 정책이나 준수 지침을 발표하는 단계를 넘어, 암호화폐 자금 세탁, 사기, 제재 회피, 불법 자금 조달과 같은 핵심 영역에 자산 동결, 기업 제재, 형사 기소하다, 국제적 합동 작전 등을 통해 직접 개입할 융자 입니다. 규제 범위는 거래소 부터 인프라 서비스 제공업체, 심지어 개별 온체인 주소에 이르기까지 확대되고 심화될 것입니다. 이 섹션에서는 2025년의 주요 규제 및 집행 동향 네 가지를 중점적으로 다룹니다. 악성 소프트웨어, 다크 웹, 사이버 범죄 인프라에 대한 대응, 가상화폐 거래소(Garantex)에 대한 주요 규제 및 형사 기소, 사기, 폰지 사기, "피그 부처링(pig butchering)" 네트워크에 대한 합동 작전, 그리고 암호화폐 서비스 분야의 규정 미준수 및 불법 운영에 대한 처벌 사례입니다.
2. 규제 정책

2025년, 글로벌 암호화폐 규제는 체계적이고 구조적인 발전 단계에 접어들었습니다. 각국의 정책은 과거의 "탐색적 규제"에서 "명확한 규칙 시행 및 통일된 프레임 구축"으로 점진적으로 전환되었습니다. 규제 준수는 암호화폐 시장 발전의 필수 조건으로 널리 인식되었으며, 세금 투명성, 자금세탁방지/고객확인제도(AML/KYC), 수탁 보안, 정보 공개 등이 정책의 주요 초점이 되었습니다. 이 섹션에서는 2025년까지 각국의 규제 정책 발전 상황을 요약하며, 자세한 내용은 본문 말미의 부록 PDF에서 확인할 수 있습니다.

자금 동결 /반환 데이터

슬로우 미스트 (SlowMist) 슬로우 미스트 (SlowMist) Lab 위협 인텔리전스 파트너십 네트워크의 강력한 지원을 바탕으로 2025년에 고객, 파트너 및 공개된 해킹 사건 동결/복구를 지원했습니다.

2025년에 테더는 576개의 이더리움 주소에 있는 USDT-ERC20 자산을 동결, 서클은 214개의 이더리움 주소에 있는 USDC-ERC20 자산을 동결.

2025년에는 사이버 공격 이후 도난 자금이 회수되거나 동결 사례가 18건 있었습니다. 이 18건의 사례에서 도난 자금의 총액은 약 19억 5,700만 달러였으며, 그중 약 3억 8,700만 달러가 반환/ 동결 2025년 전체 손실액의 13.2%를 차지했습니다.

사이버범죄 조직과 지하 사이버 생태계

1. 북한 해커들

MSMT가 2025년에 발표한 연구 보고서에 따르면, 2024년 1월부터 2025년 9월까지 북한 관련 해킹 그룹이 전 세계 암호화폐 거래소, 지갑 서비스 제공업체, 다중 서명 인프라 및 웹3 생태계 기업들을 공격하여 최소 28억 3,700만 달러 상당의 암호화폐 자산을 탈취했습니다. 이 중 약 16억 4,500만 달러는 2025년 첫 9개월 동안에만 탈취되어 새로운 기록을 세웠습니다.

이 섹션에서는 2025년 북한 해커들의 활동 특징, 주요 조직 구조 및 역할 분담, 핵심 공격 방식 및 주요 목표, 그리고 자금 세탁 및 온체인 유통의 "산업화된 과정"을 요약합니다. 나아가 IT 아웃소싱과 "합법적 고용을 이용한 자금 세탁"을 통해 형성된 은밀한 자금 유입 모델을 밝힙니다.

1. 낚시 배수구

이 섹션은 당사의 파트너인 웹3 기반 사기 방지 플랫폼 Scam Sniffer에서 작성했으며, 이에 깊은 감사를 드립니다. 본 섹션에서는 EVM 생태계 내에서 발생하는 최신 Wallet Drainer 피싱 공격 동향만을 분석하여 실무자와 사용자가 자산을 더욱 효과적으로 보호할 수 있도록 돕습니다.

총 손실액: 8,385만 달러, 피해자: 106,106명 – 2024년 대비 각각 83%와 68% 감소.

단일 최대 절도 사건: 650만 달러, 허가 서명을 통한 절도 (9월).

주요 시그니처 유형: Permit이 여전히 지배적이며, EIP-7702 악성 시그니처는 Pectra 업그레이드 이후 나타났으며, 8월에 두 건의 대규모 사례가 발생했습니다.

1. 휴이오네 그룹

동남아시아에서 온라인 사기 및 국경을 넘나드는 자금 세탁 활동이 지속적으로 증가함에 따라, 후이오네 그룹과 자회사인 후이오네페이, 후이오네개런티는 전 세계 규제 및 법 집행 기관의 주요 감시 대상이 되었으며, 수많은 정보 기관의 주목을 받고 있습니다. 이 섹션에서는 후이오네 생태계의 서비스 확장 경로, 온체인 자금 활동의 현황, 그리고 후이오네가 직면하고 있는 국경을 넘는 공동 법 집행 및 규제 압력을 살펴봅니다.

1. 랜섬웨어/멀웨어

2025년에도 랜섬웨어와 정보 탈취 악성코드는 암호화폐 자산 탈취 및 수익 창출의 핵심 기술로 남아 있을 것입니다. MaaS/RaaS(서비스형 악성코드/랜섬웨어)의 상용화 모델은 공격자의 진입 장벽을 더욱 낮춰, 전문적인 지식이 없는 범죄자들도 번들 서비스를 이용하여 공격을 감행할 수 있도록 함으로써 사이버 범죄 공급망을 지속적으로 확장시키고 있습니다. 지난 한 해 동안 여러 국가의 사법 당국은 관련 핵심 조직들을 대상으로 여러 건의 주요 작전을 수행했습니다. 이 섹션에서는 LockBit과 LummaC2라는 두 가지 대표적인 사례를 자세히 분석합니다.

1. 개인정보보호/코인믹싱 도구

암호화폐 자금세탁 생태계에서 개인정보 보호 프로토콜과 믹싱 도구는 오랫동안 중요한 역할을 해왔습니다. 개인정보 보호를 중시하는 합법적인 사용자뿐만 아니라 해커 그룹, 랜섬웨어 조직, 지하 자금세탁 네트워크 등 규제를 우회하는 중요한 수단으로 이를 이용하는 주체 모두에게 유용한 도구로 활용되어 왔습니다. 본 섹션에서는 2025년의 대표적인 규제 및 집행 사례 분석을 통해 개인정보 보호 기술과 불법적 악용 사이의 경계가 재정의되고 있으며, 규제 접근 방식이 '획일적인' 방식에서 '사용량과 책임에 기반한 단계별 거버넌스'로 점차 변화하고 있음을 보여줍니다.

IV. 요약

2025년을 되돌아보면 블록체인 보안 및 자금세탁 방지 생태계는 세 가지 주요 특징을 보였습니다. 더욱 전문화된 공격 방식, 더욱 은밀해진 범죄 네트워크, 그리고 강화된 규제 집행입니다. 보안 사고 발생 건수는 안정세를 보였지만, 접근 제어, 소셜 엔지니어링 공격, 개인 키 유출과 관련된 리스크 지속적으로 증가하는 등 구조적인 변화가 뚜렷하게 나타났습니다. 암시장 도구의 "서비스 지향적" 특성으로 인해 플러그 앤 플레이 공격이 현실화되었고, 기술적 측면에서 사용자 및 공급망으로 리스크 확산되었습니다. 자금세탁 네트워크는 동남아시아 사기, 북한발 공격, 그리고 개인정보 보호에 초점을 맞춘 암호화폐 믹싱 도구를 중심으로 계속 운영되었으며, 규제는 국경을 넘나드는 공조 진압 단계로 접어들었습니다. 여러 국가가 동시에 AML/FATF(자금세탁방지/자금세탁방지기구) 시행을 추진하면서 주소 압수, 자산 동결, 암호화폐 믹싱 운영자에 대한 책임 추궁 등을 통해 이러한 범죄 활동을 더욱 엄격하게 단속했습니다. 보안 및 규정 준수는 더 이상 "부가적인 기능"이 아닌 "상업적 생존의 필수 조건"이 되었습니다. 업계 경쟁의 초점은 더 이상 기술적 경쟁 구도가 아니라, 지속적으로 작동하는 안전한 내부 통제 및 규정 준수 시스템을 누가 구축할 수 있느냐에 달려 있습니다.

이러한 추세에 대응하여 슬로우 미스트 (SlowMist) AI 기반 보안 및 규정 준수 역량을 지속적으로 강화하고 있습니다. SlowMist는 보안을 일회성 "프로젝트 감사"나 "긴급 추적"으로만 이해하는 것이 아니라, 사고 발생 전, 발생 중, 발생 후를 아우르는 위협 탐지 및 방어를 포함하는 통합적인 폐쇄 루프 시스템으로 인식해야 한다고 확신합니다. 사고 발생 전에는 보안 감사 및 교육이, 발생 중에는 온체인 모니터링 및 해커 행위의 실시간 탐지가, 그리고 사고 발생 후에는 추적 및 대응이 포함됩니다. 슬로우 미스트 (SlowMist) 위협 인텔리전스 모델 기반의 Web3 위협 조기 경보 및 동적 모니터링 시스템인 MistEye, 자금세탁방지(AML) 및 고객확인(KYT) 규정 준수 및 위험 관리 기능을 포함한 온체인 분석 및 자금세탁 추적 플랫폼인 MistTrack, 글로벌 위협 인텔리전스 협력 네트워크인 InMist Lab, 그리고 공격 및 방어, 감사 서비스 등 다양한 제품과 서비스를 통해 이러한 폐쇄 루프 역량을 구현하고 있습니다. 인공지능(AI) 기반의 이러한 기능은 위협 식별, 추적 및 규정 준수 지원에 있어 자동화, 지능적 관리 및 실시간 대응을 가능하게 하여 업계에 장기적이고 견고한 기반 보안 기능을 제공합니다.

V. 면책 조항

본 보고서는 블록체인 산업에 대한 당사의 이해, 슬로우 미스트 (SlowMist) 해킹 아카이브 데이터 및 MistTrack 자금세탁 방지 추적 시스템 데이터를 기반으로 작성되었습니다. 그러나 블록체인의 익명성으로 인해 모든 데이터의 절대적인 정확성을 보장할 수 없으며, 본 보고서의 사용으로 인해 발생하는 오류, 누락 또는 손실에 대해 책임을 지지 않습니다. 또한, 본 보고서는 투자 조언이나 기타 분석의 근거로 사용될 수 없습니다. 본 보고서의 누락이나 부족한 부분에 대한 비판 및 수정 사항은 언제든지 환영합니다.

중국어 버전: https://www.slowmist.com/report/2025-Blockchain-Security-and-AML-Annual-Report(CN).pdf

영어: https://www.slowmist.com/report/2025-Blockchain-Security-and-AML-Annual-Report(EN).pdf

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.