양을 잃고 나면 울타리를 고치기엔 너무 늦었다.

에릭의 글

기사 출처: Foresight News

'해킹'은 웹3 업계의 핵심 요소이며, 매년 더욱 흥미진진해지고 있습니다.

보안 회사 CertiK이 2025년 12월 말에 발표한 "2025 Skynet Hack3D Web3 보안 보고서"에 따르면, 2025년 Web3 업계에서 발생한 보안 사고는 총 630건으로, 이로 인해 약 33억 5,300만 달러의 손실이 발생했으며, 도난 금액은 전년 대비 37.06% 증가했습니다.

미화 33억 5,300만 달러(약 233억 7,000만 위안)는 2024년 장쑤성 리양시의 GDP와 거의 같습니다. 이 금액은 한 현(縣) 주민 모두의 1년 치 노동력을 날려버릴 수 있을 만큼 엄청난 액수로, 실로 심각한 문제입니다.

지난 한 해 동안 웹3 산업이 점차 성숙해지고 있다는 느낌을 모두가 받았지만, 보안에 대한 투자는 아직 턱없이 부족하다는 것이 분명합니다. 매년 도난당하는 금액이 증가하고 있다는 사실은 이러한 탈중앙화 산업에 또 다른 경종을 울리고 있습니다.

낚시가 주요 공격 대상이 되었습니다.

2025년 총 손실액은 2024년 대비 30% 이상 증가했지만, 바이빗(Bybit) 사건 단독으로 발생한 손실액은 약 14억 달러에 달했습니다. 해킹 사건 발생 건수는 2024년 대비 2025년에 137건 감소했고, 평균 손실액은 35.75% 감소한 10만 4천 달러를 기록했습니다.

이러한 상세 데이터 변화와 관련하여 CertiK는 보고서에서 2025년에도 소규모 공격의 빈도는 높게 유지되겠지만, 공격자들은 점차 더 적지만 더 큰 영향력을 미치는 고가치 공격에 자원을 집중하고 있다고 밝혔습니다. 바이빗(Bybit) 사건은 웹3 공간에서 조직적인 해킹 그룹의 활동이 증가하고 있음을 보여주는 대표적인 사례입니다.

바이빗(Bybit) 사건은 이후 악명 높은 북한의 "국가 소유 해킹 그룹"인 라자루스 그룹(Lazarus Group)의 소행으로 밝혀졌습니다. 라자루스 그룹은 초기에는 프로토콜 코드 로직의 취약점을 노리는 공격을 감행했지만, 최근에는 정교한 공급망 공격으로 수법을 전환했습니다. 라자루스 그룹 구성원들은 조직 내 해커로 위장하여 다양한 웹3 기업에 개발자 직책으로 지원하고, 그 자리를 이용해 기업의 자금 이체 과정을 파악한 후, 취약점을 발견하고 내부에서 정교한 공격을 감행합니다.

바이빗(Bybit) 사건에서 해커들은 Safe 개발자 기기를 해킹하여 지갑 관리 인터페이스에 악성 코드를 심어 바이빗 직원들이 승인한 다중 서명 거래를 조작하고 자금 이체를 자신들의 계좌로 변경했습니다. 이처럼 조직적이고 계획적인 공격은 예방하기 어렵습니다. 해커들은 사소한 허점이라도 악용할 수 있습니다.

Bybit을 예외로 하더라도, 2025년에는 피싱 공격이 가장 흔하고 피해액이 큰 공격 방식이었으며, 248건의 공격으로 약 7억 7,300만 달러의 손실이 발생했습니다. 지갑 도난은 재정적 손실 측면에서 두 번째로 큰 공격 방식이었으며, 55건의 공격으로 약 5억 5,700만 달러의 손실이 발생했습니다. 제 경험상, 많은 친구들이 실수로 링크를 클릭하여 지갑에서 자금이 도난당하거나 모든 자산이 설명할 수 없이 이체되는 일을 겪었습니다. 따라서 이 두 가지 공격 방식으로 인한 실제 손실액은 보고서의 통계를 훨씬 초과할 가능성이 높으며, 앞으로 이와 유사한 공격이 더욱 만연해질 수 있습니다.

이더 바이비트(Bybit)로 인해 가장 많은 자금이 도난당했지만, 도난당한 14억 달러를 제외하면 비트코인이 가장 많은 자금이 도난당한 블록체인이 되었습니다. 스마트 계약을 지원하지 않는 비트코인은 개인 키 유출, 피싱 공격 및 기타 여러 가지 이유로 지갑이 텅 비게 되었습니다.

앞서 언급한 공격 방식에 대해서는 사후 분석만으로 원인을 파악하고, 해커의 공격 대상이 되지 않기를 바라며 더욱 경계해야 한다는 점을 되새겨볼 수밖에 없습니다. 하지만 사전에 예방 가능한 공격 유형이 하나 있는데, 바로 앞서 언급한 1,800만 달러 규모의 피해를 초래한 '먹튀 사기'입니다. 이러한 유형의 공격은 사실상 선제적인 공격이 아닙니다. 대부분의 경우 토큰 발행자가 토큰 매개변수를 조작할 권한을 보유하여, 아무것도 모르는 투자자들을 속이는 것입니다.

CertiK의 Skynet은 코드 보안, 프로젝트 구조, 운영 탄력성, 거버넌스, 시장 동태, 커뮤니티 평판 등 6가지 차원에서 Web3 프로젝트의 전반적인 보안을 평가하여 먹튀 사기와 같은 공격에 대응할 수 있도록 지원합니다. 투자 전 Skynet을 통해 검증하면 다양한 리스크 효과적으로 걸러낼 수 있습니다. 또한, 토큰 스캐닝 도구를 활용하여 토큰 보유 비율, 토큰 매개변수 조정 권한, 거래세 부과 여부, 폰지 사기 여부 등 기본적인 정보를 파악할 수 있습니다. CertiK의 Skynet 시리즈 보고서와 Skynet Top 20 목록은 데이터 기반 보안 분석과 투명한 정량적 평가 기준을 바탕으로 신뢰할 수 있는 보안 평가 자료를 제공하여 예측 가능한 리스크 식별하는 데 도움을 줍니다.

사건 발생 후 추적부터 사건 발생 전 예방까지

베이징 시간으로 1월 6일 저녁, CertiK는 YZi Labs와 전략적 파트너십을 체결했다고 발표했습니다. 이번 협약을 통해 CertiK는 EASY Residency 프로그램에 100만 달러의 보안 감사 자금을 지원하고, 형식 검증, 스카이넷 부스팅, AI 스캐닝 등의 보안 서비스를 제공할 예정입니다. YZi Labs는 CertiK와 인큐베이팅 프로젝트 간의 연결을 촉진하고, 프로젝트 팀이 CertiK의 제품 및 서비스를 더욱 심층적으로 이해할 수 있도록 지원할 것입니다.

CertiK는 미국과 유럽연합을 비롯한 여러 국가 및 지역에서 웹3 관련 법률 및 규정을 지속적으로 개선함에 따라 프로젝트 감독이 필연적으로 더욱 엄격해질 것이라고 밝혔습니다. 앞으로는 프로젝트가 보안 사고의 영향을 완전히 피할 수 없게 될 것이며, 이는 프로젝트 개발 초기 단계부터 보안 점검 및 메커니즘을 도입해야 한다는 요구를 더욱 강화할 것입니다. CertiK가 YZi Labs와 협력하여 설립한 보안 기금은 웹3 프로젝트의 사전 예방적 보안 조치를 강화하는 데 중점을 두고 있습니다.

CertiK는 이번 협력이 업계의 벤치마크가 되어 더 많은 프로젝트가 처음부터 안전을 우선시하도록 장려하고, 이를 통해 업계 전반의 신뢰와 평판을 높일 수 있기를 기대합니다.

CertiK는 지난 한 해 동안 유명 밈 플랫폼과 하드웨어 지갑 제품에서 고위험 취약점을 식별하는 등 사전 예방적 위험 방지 분야에서 상당한 경험을 축적했다고 밝혔습니다. 또한, React2Shell(CVE-2025-55182) 원격 코드 실행 취약점이 공개된 후, CertiK 팀은 즉시 해당 취약점의 악용 가능성을 평가하고 40개 이상의 React/Next.js 프로젝트가 신속하게 수정 작업을 완료할 수 있도록 지원했습니다. 리스크 식별 외에도 CertiK는 프로젝트에서 의심스러운 거래를 모니터링하고 리스크 발생 시 즉시 경고를 보내 잠재적 손실을 최소화하는 데 도움을 주는 제품인 Skylens를 출시했습니다.

하지만 이러한 성과는 다음과 같은 심각한 질문을 제기합니다. 해킹으로 인한 손실은 왜 여전히 매년 증가하고 있는 것일까요?

이 질문에 대한 답은 주로 "웹3" 및 "보안" 산업과 관련이 있습니다. 해커와의 치열한 싸움이 벌어지는 인터넷 산업과는 달리, 블록체인의 탈중앙화 특성상 해커가 취약점을 발견하면 거의 항상 공격에 성공하며 손실을 만회할 가능성은 매우 낮습니다. 또한 웹3 프로젝트는 일반적으로 24시간 모니터링 시스템을 구축할 여력이 부족하고, 규제 감독이 미비한 상황에서 보안에 시간과 자원을 투자할 동기가 충분하지 않습니다. 따라서 오픈소스 코드의 경우 리스크 노출 가능성이 매우 높습니다.

보안 업체들이 통계를 낼 때, 도난 금액만 보여줄 뿐 "보안 조치로 인해 회수된 잠재적 손실"은 수치화할 수 없는 수치입니다. 이는 업계 여러 보안 회사의 노력 덕분에 회수된 자산의 연간 증가율이 손실 증가율을 훨씬 웃돌 수 있음을 의미합니다. 더욱이, 보안 회사의 도움을 받는 프로젝트들은 취약점이 있다는 사실을 적극적으로 공개하지 않기 때문에, 보안 회사의 실제 영향력에 대한 우리의 인식은 도난 ​​금액과 같은 구체적인 수치에 의해 크게 좌우되지 않습니다.

주관적인 이유와 관련하여 CertiK는 라자루스 그룹 사건처럼 국가 투자가 수반되는 조직적이고 계획적인 범죄는 사전에 예방하기 어렵다고 밝혔습니다. 바이빗 사건을 예로 들면, 바이빗의 자금 이체 보안 절차 자체에는 결함이 없었지만, 보안 업체 개발자의 기기를 해킹하여 악성 코드를 심어 공격을 감행한 행위는 보안 업체가 사전에 예측할 수 없었던 부분이라고 설명했습니다.

다소 불완전한 예를 들자면, 도둑을 막기 위해 보안이 철저한 문을 사용할 수는 있지만, 도둑이 문을 부수고 들어오는 것을 막을 수는 없습니다.

기술 발전의 양날의 검

보안 회사와 해커는 끊임없이 서로를 속이는 역동적인 고양이와 쥐 게임을 벌입니다. 해커가 새로운 공격 기법을 사용하여 공격에 성공할 때마다 보안 회사는 새로운 방어 체계를 구축할 수 있고, 이는 다시 해커들이 새로운 공격 기법을 연구하도록 자극하여 악순환을 만들어냅니다.

인공지능(AI)의 발전은 보안에 더 큰 불확실성을 가져왔습니다. 보안 회사인 CertiK는 취약점 발견 및 감사 프로세스에 AI를 광범위하게 적용하고 있습니다. 온체인 경고 데이터를 분석하여 취약점의 원인과 공격 경로를 파악하는 데 도움을 주는 동시에, AI 기술을 활용하여 알려진 취약점 패턴을 스캔하고 코드 로직을 분석하여 보고서를 생성함으로써 효율성을 크게 향상시키고 있습니다. 앞서 언급한 Skynet 또한 AI를 사용하여 종합적인 분석 결과를 제공하는 도구를 보유하고 있습니다.

2026년 세계경제포럼(WEF) 연례 회의 기간 중, CertiK의 창립자인 구룽후이 교수는 CBS와의 단독 인터뷰에서 CertiK가 인공지능(AI) 기술과 정형 검증을 심층적으로 통합했다고 밝혔습니다. 자체 개발한 Spoq 엔진 아키텍처를 기반으로 AI 자동화 기능을 통합하여 정형 검증 프로세스의 확장성과 실행 효율성을 크게 향상시켰습니다. 이러한 AI 기반 보안 솔루션은 기관 고객에게 높은 수준의 수학적 보안을 제공합니다.

반면, 인공지능(AI)을 이용하면 동일한 시작과 끝 주소를 사용하는 대량 피싱 공격과 주소 변조 공격을 대량으로 생성할 수 있어 해커의 공격 효율이 높아졌습니다. 과거에는 특정 대상을 선택적으로 공격해야 했던 것이 이제는 만 명 중 단 한 명만 속여도 해커에게 수익을 가져다줄 수 있게 되었습니다. 이것이 바로 2025년까지 공격 대상이 고래)에 국한되지 않을 것이라는 예측의 한 가지 이유입니다.

권위 있는 시장조사기관 가트너의 자료에 따르면, 2024년 전 세계 최종 사용자의 사이버 보안 지출은 약 1,930억 달러(약 1조 4천억 위안)에 달할 것으로 예상되며, 인터넷 대기업들은 매년 10억 달러에서 50억 달러를 사이버 보안에 투자하고 있습니다. 보안 요구 수준이 훨씬 더 높은 웹3 산업에서 이러한 투자는 인터넷 대기업의 투자 규모에 비하면 극히 미미한 수준입니다.

웹3 산업에서 보안 역량 개발을 저해하는 요인으로는 인식 부족, 인재 부족, 자금 부족, 자원 부족 등이 있습니다. 대부분의 보안 기업이 주로 B2B 업무 에 집중하고 있다는 점 또한 수요와 공급의 불균형을 보여줍니다. B2C 보안 도구에 대한 합리적인 수익 모델을 어떻게 구축할 것인지, 그리고 웹3 산업에 대한 업무 적용 가능성은 어떠한지 등은 보안 기업을 포함한 모든 참여자들이 함께 고민해야 할 과제입니다.