[팟캐스트 Ep.58] 규제 속에서도 진화하는 웹3 해킹 트렌드

| 토큰포스트

토큰포스트
안녕하세요. 토큰포스트 팟캐스트입니다. 오늘 저희가 좀 깊게 들여다볼 내용은요, 토큰포스트 7월 7일자로 올라온 서틱의 리서치 보고서입니다. 2025년 2분기랑 상반기 웹3 보안 관련 내용인데 이걸 보면서 최신 동향이랑 시사점을 좀 짚어보려고 합니다.

진행자
아주 중요한 자료죠.

토큰포스트
보고서를 딱 보니까 2025년 상반기 피해액이 와 24억 7천만 달러를 넘었다구요. 이게 작년 전체 피해액보다도 많다는데 어우 진짜 충격적인데요. 이 숫자를 어떻게 봐야 할까요?

진행자
네 맞습니다. 그 숫자만 딱 보면 뭐랄까 웹3 보안 환경이 엄청나게 나빠진 것처럼 보일 수 있죠. 근데 여기서 좀 자세히 들여다볼 필요가 있는 게 이 금액의 약 72% 정도 그러니까 17억 8천만 달러가요 사실은 단 2건의 아주 큰 사건 때문에 발생했다는 겁니다.

토큰포스트
아 2건이요.

진행자
Bybit과 Cetus Protoco 이 두 건이 워낙 컸어요. 그래서 이걸 빼고 보면 실제 손실 규모는 한 6억 9천만 달러 수준 좀 더 균형 있게 볼 필요가 있는 거죠.

토큰포스트
아하 그렇군요. 까 전체 숫자에 너무 놀라기보다는 특정 대형 사건의 임팩트가 아주 컸다 이런 맥락이 중요하겠네요. 상반기 전체 그림이 그렇다면 이제 2분기 상황은 어땠는지 좀 더 구체적으로 볼까요?

진행자
2분기만 따로 떼서 보면요 총 144건의 사고가 있었고, 피해액은 약 8억 100만 달러 정도였습니다. 금액만 보면 사실 직전 분기보다는 한 52% 이상 줄어든 수치예요.

토큰포스트
오 줄긴 줄었네요.

진행자
근데 여기서 흥미로운 점이 있어요. 공격의 양상이랄까 그게 좀 변했습니다.

토큰포스트
공격 양상이요. 어떻게 달라졌다는 거죠. 피해액은 줄었는데 다른 변화라니 이거 궁금한데요.

진행자
가장 눈에 띄는 특징이 바로 피싱 공격의 급증입니다. 2분기 피싱으로 인한 피해액만 해도 거의 3억 9500만 달러에 달했어요. 전체 피해의 거의 절반이죠. 발생 건수도 52건으로 제일 많았고요. 오히려 그 기술적인 허점 뭐 코드 취약점 공격 같은 거 있잖아요. 그건 한 2억 3600만 달러 47건 정도였는데 피싱이 피해 규모나 빈도 면에서 훨씬 더 심각해진 거죠.

토큰포스트
그러니까 시스템 자체에 어떤 기술적인 결함보다는 사람의 심리나 실수를 노리는 공격이 더 큰 위협이 됐다는 거네요. 이건 정말 중요한 변화 같은데요. 결국 기술적인 방어벽도 중요하지만 우리 사용자 각자의 주의가 핵심이다. 뭐 이런 의미로 들리네요.

진행자
정확합니다. 바로 그거죠. 피싱 수법이 뭐랄까 날이 갈수록 교묘해지고, 있다는 증거이기도 하구요. 그래서 정말 아무리 강조해도 지나치지 않은 게 출처가 불분명한 링크는 절대 클릭하면 안 되고 웹사이트 주소 같은 거 꼭 다시 확인하고 또 가능하다면 다중 인증 MFA라고 하죠. 그런 거 꼭 사용하시고 정말 중요한 개인키 같은 건 인터넷 연결 안 된 하드웨어 지갑에 보관하는 습관 이게 여러분 자산을 지키는 정말 기본적인 방패인 셈입니다. 필수예요. 필수

토큰포스트
듣고 보니 정말 개인의 역할이 커졌네요. 혹시 2분기에 실제로 어떤 사례들이 있었는지 좀 구체적으로 말씀해 주시면 더 와닿을 것 같아요.

진행자
네 대표적인 걸 좀 꼽아보면요 약 3억 3천만 달러 상단의 비트코인이 도난당한 사건이 있었어요. 개인 지갑이었는데. 이게 피싱이었습니다. 전형적인 사회공학 기법 그러니까 사람을 속여서 정보를 빼내는 방식이었죠.

토큰포스트
3억 3천만 달러요. 와 개인 지갑에서요?

진행자
네 그리고 또 다른 큰 사건은 수위 블록체인 기반의 주요 디엑스 그러니까 탈중앙화 거래소죠 Cetus Protocol이 하고 여기서는 스마트 컨트랙트의 취약점을 이용해서 공격이 들어왔고 피해액이 약 2억 2600만 달러 정도 발생했습니다. 이건 기술적인 문제였구요.

토큰포스트
아 피싱도 크고 기술적 취약점도 여전히 큰 문제군요.

진행자
그렇습니다. 둘 다 경계해야 하죠.

토큰포스트
이런 직접적인 공격들 말고 혹시 시장 전체에 영향을 미치는 다른 흐름 같은 건 없었나요? 예를 들면 뭐 규제라던지

진행자
어 네 빼놓을 수 없죠 규제 환경 변화도 상당히 중요했습니다. 2025년 상반기를 보면 미국이나 EU 홍콩 같은 주요국들에서 디지털 자산 관련 법규들이 좀 더 구체화되거나 실제로 시행되기 시작했어요. 이런 제도권의 움직임이 활발해졌다는 건 어떻게 보면 시장에 좀 성숙해지고, 있다는 신호일 수도 있겠죠. 근데 동시에 새로운 자본이나 참여자들이 또 들어오게 되잖아요. 그럼 그들을 노리는 공격도 늘어날 수 있기 때문에 이 보안의 중요성은 오히려 더 커지고 있다고 봐야 합니다.

토큰포스트
그렇군요. 규제가 생기면서 안정성이 높아질 수도 있지만 또 다른 측면에선 새로운 공격 대상이 늘어나니 보안은 계속 강조될 수밖에 없겠네요. 자 그럼 오늘 서틱 보고서를 통해 살펴본 내용들을 한번 정리해 보겠습니다. 2025년 상반기 특히 2분기 Web3 보안 환경을 보면 일단 그 엄청난 피해액 숫자 너머를 좀 봐야 한다. 소수의 아주 큰 사건들이 전체 숫자를 부풀린 경향이 있었고, 공격 트렌드 면에서는 시스템 해킹보다 피싱이 핵심 위협으로 떠올랐다는 점 이게 정말 중요했죠.

진행자
네 맞습니다.

토큰포스트
했고요. 또 규제가 강화되는 이런 큰 흐름 속에서 보안 기준 역시 함께 높아져야 한다는 점도 짚어봤습니다.

진행자
네 핵심을 아주 잘 요약해 주셨네요. 여기서 우리가 앞으로 좀 계속 고민해 봐야 할 질문이랄까 그런 게 있는 것 같아요. 뭐냐면 규제가 강화되고 시장이 점점 제도권 안으로 들어오면 전체적인 보안사고 건수는 줄어들 수도 있겠죠. 아무래도 관리가 되니까. 근데 과연 한 번 사고가 터졌을 때 그 규모나 방식이 더 치명적이고 더 고도화되는 방향으로 진화하지는 않을까? 이런 우려가 있습니다. 앞으로 또 어떤 새로운 유형의 위협이 나타날지 정말 끊임없이 경계하고 대비해야 할 겁니다.

토큰포스트
네 정말 중요한 지적이십니다. 끊임없는 경계와 대비가 필요하겠네요. 오늘 말씀 감사합니다.

진행자
감사합니다.

토큰포스트
이상으로 토큰포스트 팟캐스트였습니다.