비트코인·이더리움 해킹, 코드보다 지갑 보안이 더 큰 구멍으로

암호화폐 해킹 피해가 단순한 ‘스마트컨트랙트’ 취약점보다 지갑 보안과 계정 탈취로 빠르게 옮겨가고 있다. 디파이라마(DefiLlama) 집계에 따르면 지난 10년간 해커가 훔친 금액은 518건에서 170억달러를 넘어섰고, 상당수는 ‘개인키’ 유출과 피싱에서 비롯됐다.

디파이라마의 대시보드에 따르면 개인키 탈취는 ‘무차별 대입’ 방식이 22.3%, ‘원인 불명’ 방식이 18.2%를 차지했다. 멀티시그(다중 서명) 지갑을 노린 피싱 공격도 10%에 달했다. 이는 손실의 핵심이 코드 결함만이 아니라 지갑 관리, 서명 인프라, 사용자 습관에 있다는 점을 보여준다.

최근 2개월간 디파이에서만 6억달러 유출

이 같은 흐름은 최근 피해 규모에서도 확인된다. 지난 토요일에는 켈프 DAO의 레이어제로 기반 rsETH 브리지에서 약 11만6500개 재스테이킹 이더리움(rsETH)이 빠져나갔고, 당시 기준 피해액은 약 2억9000만달러에서 2억9300만달러 수준이었다. 올해 들어 가장 큰 해킹 사례다.

크립토 트레이딩 회사 GSR 리서치는 지난 60일 동안 탈취된 디파이 자금이 6억달러를 넘었다고 밝혔다. 켈프 사고와 4월 1일 솔라나 기반 탈중앙화 거래소 드리프트 프로토콜 사건이 대부분을 차지했다. GSR은 스마트컨트랙트 감사를 강화해도 공격자가 이제는 ‘운영 보안, 서명 인프라, 개발 도구, 그리고 그 뒤의 사람들’로 옮겨가고 있다고 지적했다.

수익성도 낮아졌다. GSR은 디파이 수익률이 전통 금융 수준까지 압축되면서, 온체인 예치가 여전히 감수할 만한 위험인지 다시 따져보게 된다고 평가했다. 고수익을 내세우던 디파이의 매력이 줄어드는 가운데, 보안 리스크는 투자자 이탈을 더 부추길 수 있다.

AI·악성코드 결합한 ‘쉬운 해킹’ 확산

보안업체들은 인공지능과 악성코드의 결합이 사회공학적 공격을 더 쉽게 만들고 있다고 본다. 범죄자들은 소액을 먼저 보내 거래 이력을 조작한 뒤, 피해자가 그 주소를 복사·붙여넣기하도록 유도하는 방식까지 활용한다. 디지털 자산을 직접 훔치는 것보다, 사용자를 속이는 쪽이 더 저비용·고효율이 됐다는 뜻이다.

사이버보안업체 해켄(Hacken)의 공동창업자 겸 최고경영자 드마 부도린은 뒤늦게 받은 링크 하나만으로도 지갑이 완전히 비워질 수 있다고 경고했다. 그는 다크웹의 ‘해킹 서비스화’가 범죄 진입 장벽을 낮추고 있다며, 공격자들이 가장 적은 노력으로 가장 쉬운 표적을 찾는다고 말했다.

해켄에 따르면 2026년 1분기 웹3 프로젝트의 손실은 4억8200만달러였고, 이 가운데 3억600만달러가 피싱과 사회공학 공격에서 발생했다. 다만 일부 지표는 개선됐다. 스캠 스니퍼(Scam Sniffer)는 2025년 크립토 피싱 손실이 크게 줄었다고 밝혀, 이용자 경각심은 높아졌다고 평가했다.

결국 암호화폐 해킹의 중심은 이제 코드에서 사람으로 이동하고 있다. 비트코인(BTC)과 이더리움(ETH)을 포함한 전반적인 시장에서 지갑 보안, 서명 절차, 사용자 습관이 약한 고리가 되는 만큼, 업계의 보안 대응도 프로토콜 감사만으로는 부족하다는 지적이 더 커질 전망이다.

💡 자주 묻는 질문 (FAQ)