토큰포스트 팟캐스트는 2025년 암호화폐 업계를 뒤흔든 대규모 해킹 사건과 그로 인한 심각한 보안 위기를 심층 분석하고, 시장이 직면한 구조적 리스크 에 초점을 맞춥니다. 특히, 손실 규모가 전례 없는 수준으로 확산되고 있다는 점을 지적하며, 기술적 보안보다 운영 관리의 중요성이 점점 더 커지고 있음을 강조합니다.
2025년 상반기 암호화폐 해킹으로 발생한 손실액은 21억 7천만 달러에 달하며, 이는 전년도 전체 손실액인 22억 달러를 넘어선 수치입니다. 손실액 누적 속도는 역대 최악의 해였던 2022년보다 70일 이상 빨랐으며, 이는 광범위한 보안 취약점 노출을 시사합니다. 특히 2월에 발생한 바이비트(Bybit) 해킹으로 15억 달러가 유출되었는데, 이는 2022년 로닌 네트워크(Ronin Network) 해킹으로 기록된 손실액(6억 1,500만 달러)의 두 배가 넘는 규모입니다. 또한 페멕스(Phemex), 노비텍스(Novitex), 코인베이스(Coinbase) 등 주요 거래소 겨냥한 여러 건의 공격도 발생했습니다.
문제는 공격 유형에서 명확히 드러납니다. 접근 제어 실패로 인한 손실이 전체 손실의 59%를 차지하여 스마트 계약 코드 결함(8%)보다 훨씬 더 큰 리스크 요소로 작용했습니다. 이는 개인 키 관리 소홀, 내부자 위협, 소셜 엔지니어링과 같은 "운영 보안" 문제가 기술적 대응책보다 훨씬 더 복잡하고 광범위하게 발생하고 있음을 의미합니다. 대표적인 사례로 업계에서 신뢰받는 다중 서명 솔루션인 "Safe"를 사용했음에도 불구하고 해커에게 노출된 운영 취약점으로 인해 막대한 손실을 입은 Bybit을 들 수 있습니다.
더욱이 북한 정부와 연계된 사이버 해킹 그룹인 라자루스 그룹이 바이비트 해킹의 배후로 지목되면서, 국가 지원 공격이라는 새로운 리스크 구도가 형성되고 있음이 확인되었습니다. 라자루스 그룹은 2017년 이후 수십 건의 공격을 감행했으며, 2022년 로닌 네트워크 공격 역시 FBI에 의해 공식적으로 그 소행으로 지목되었습니다. 2025년까지 라자루스 그룹 관련 해킹 피해액이 2억 달러를 넘어설 것으로 추산됩니다. 한국 또한 이러한 공격의 영향을 받았습니다. 지난 11월, 한국 최대 거래소 인 업비트가 해킹 공격을 받아 3천만 달러에서 3천6백만 달러의 손실을 입었습니다. 정부 기관과 전문가들은 공격 방식에 북한과의 강력한 연관성이 있음을 확인했습니다.
탈중앙화 금융(DeFi) 부문의 손실 또한 가속화되고 있습니다. 올해 상반기 DeFi 보안 사고로 인한 손실액은 31억 달러에 달하며, 이는 2024년 한 해 전체 손실액(28억 5천만 달러)을 넘어섰습니다. 스마트 계약 취약점이 전체 손실액의 67%를 차지했으며, 재진입 공격, 오라클 조작, 플래시 론(Flash loan) 공격 등 다양한 유형의 공격이 복합적으로 사용되었습니다. 특히 크로스체인 브리지를 표적으로 삼은 공격만으로도 15억 달러 이상의 손실이 발생했습니다. 이는 상호 운용성을 가능하게 하는 브리지 기술 또한 또 다른 보안 위협의 원인이 될 수 있음을 시사합니다.
이러한 맥락에서 보안 투자 효과는 분명하게 드러납니다. 보안 감사 회사인 CertiK에 따르면, 보안 감사 받은 프로젝트는 감사 프로젝트보다 해킹될 확률이 95% 낮습니다. 예를 들어, 2만 달러를 투자하여 해킹으로 인한 2천만 달러의 손실을 예방할 수 있다면 투자수익률(ROI)은 최대 1,000배에 달합니다. 실제로, 코드 취약점으로 인한 손실이 2025년 3분기에 71% 감소했다는 보고는 코드 강화의 효과를 입증합니다.
전문가들은 취약점을 즉시 해결하는 것 외에도 보안 전략을 전면적으로 강화해야 한다고 진단했습니다. 스마트 계약 감사, 다중 서명 인증 도입, 실시간 이상 탐지 시스템 구축, 자산 보험 가입 등이 대표적인 조치입니다. 특히 콜드 월렛 사용 확대와 핫 월렛 자산 규모 축소는 필수적인 예방책으로 여겨집니다. 일반 사용자 역시 2단계 인증, 서비스별 고유 비밀번호 설정, 피싱 공격 경계 등 필요한 조치를 취해야 합니다.
향후 업계는 양자 컴퓨팅 발전과 AI 기반 공격으로 인한 새로운 위협에 직면할 것으로 예상됩니다. AI를 활용한 딥페이크 오디오 및 비디오 녹화와 자동화된 피싱 기법으로 인해 올해 상반기에만 3억 달러 이상의 손실이 발생했으며, npm 소프트웨어 패키지 공급망에 대한 공격도 보고되었습니다. 중장기적으로 양자 알고리즘은 ECDSA 및 RSA와 같은 기존 암호화 기술을 무력화시킬 수 있으므로, 업계 전체의 암호화 시스템(양자 후 암호화)의 전환이 중요한 과제가 되고 있습니다.
이러한 배경 속에서 한국 정부 역시 규제 강화 움직임을 보이고 있다. 업비트 사태 이후 금융 당국은 거래소 보안 감사 기준을 강화하고 핫월렛 보유 자산 비율 조정 가이드라인 재검토에 착수했다. 전문가들은 암호화폐 업계가 이제 보안을 비용이 아닌 필수적인 생존 수단으로 인식하고, 차세대 브릿징 기술 및 양자 컴퓨팅 방어 보안과 같은 분야에 장기적으로 전략적 투자를 확대해야 한다고 강조한다.
