서틱 리서치(CertiK Research)가 발표한 '2025 Skynet 한국 Web3 보안 및 생태계 보고서'에 따르면, 한국 Web3 생태계는 제도적 진화와 기술 대중화 속에서 글로벌 모범 사례로 주목받고 있으나, 동시에 국가 차원의 지정학적 위협과 다층적인 보안 위험에 직면해 있다고 진단했다.
한국은 Web2 대기업 주도의 전략적 온보딩과 함께 규제 체계 고도화를 통해 디지털 자산 대중화를 선도하고 있다. 카카오와 라인이 합병해 선보인 블록체인 플랫폼 Kaia, 위메이드의 WEMIX는 웹3 슈퍼앱 생태계 구축에 나서며, 수천만의 사용자를 Web3로 흡수 중이다. 두 플랫폼은 초기 단계부터 과감한 보안 투자를 단행해 각각 CertiK Skynet 보안 평가에서 AAA 등급을 획득했다. CertiK 리서치는 이들이 글로벌 보안 기준 수립에 있어 한국을 대표하는 모델로 작용하고 있다고 평가했다.
한국 Web3 시장의 또 다른 성장 동력은 규제 탄력성이다. 2024년 시행된 ‘가상자산 이용자 보호법(VAUPA)’은 ▲80% 이상 콜드월렛 자산 보관, ▲회사-고객 자산 분리, ▲실시간 모니터링, ▲보험 가입 의무화 등의 내용을 포함하며 엄격한 보안 표준을 제도화했다. 나아가 2025년 들어 상장사의 가상자산 보유를 허용하는 정부의 시범 프로그램까지 도입되며, 기관 투자자의 직접 참여도 현실화되고 있다. CertiK 리서치에 따르면, 이러한 제도적 토대는 한국 시장의 제도 투명성과 기업 수용도를 결정짓는 핵심 변수다.
그러나 생태계 성장의 이면에는 고도화되는 위협이 병존한다. 서틱 리서치 보고서에 따르면, Orbit Bridge와 PlayDapp을 겨냥한 해킹 사건에서 1억 달러 이상 피해가 발생했는데, 이들은 키 관리 취약점을 노린 접근 제어 침해가 주요 원인으로 지목됐다. 특히 북한과 연계된 라자루스 그룹의 공격은 사회공학, 맞춤형 악성코드, 내부자 침투 등 복합 전술을 동원해 한국의 Web3 기업을 지속적으로 위협하고 있다. 보고서는 이러한 정교한 국가 지원 해커들로 인해 한국의 프로젝트들은 표준 위협 모델이 아닌 고위험 시나리오를 기준으로 보안 전략을 수립해야 한다고 권고했다.
또한, 중앙화 거래소에 대한 지나친 의존 역시 구조적 리스크로 언급됐다. 업비트와 빗썸 같은 소수 CEX에 리테일 자산과 유동성이 집중되면서, 단일 실패 지점(single point of failure)을 만들어낸다는 것이다. 실제로 업비트는 과거 5천만 달러 규모의 해킹 피해를 입은 바 있으며, 거래소 자체 보안 강화를 넘어, 생태계 차원의 분산화 전략이 요구된다고 분석했다.
공급망 공격 및 데이터 오염 위협도 무시할 수 없다. KLAYswap 해킹은 외부 SDK를 통한 프론트엔드 오염이라는 전형적인 사례였으며, 이는 프로젝트 보안이 외부 의존성의 무결성에 의존한다는 점을 명확히 보여준다. 따라서 기술 인프라 전반을 포괄하는 확장된 보안 모델이 필요하다는 주장이 보고서에 포함됐다.
한편, 개인 투자자에 대한 사회공학 기반 공격도 여전히 높은 빈도를 보이고 있다. 김치 프리미엄, 가짜 에어드롭, 러그풀 등을 이용한 공격이 지속되며, 보고서는 보안 교육과 리테일 대상 FOMO 심리 통제가 무엇보다 절실하다고 강조했다.
한국 Web3 보안 생태계는 '슈퍼앱-규제-보안' 3박자를 통해 세계적인 성공 사례로 자리매김하고 있지만, 동시에 국가적 차원의 지정학 리스크, 중앙 집중 구조, 공급망 의존도, 개인 투자자 노출 등 복합 위협 요소가 상존하는 이중적 구조를 지닌다.
이에 따라 성공적인 한국형 Web3 모델 구축을 위해서는 지속적인 보안 투자, 사용자 신뢰 확보, 기술적·운영적 리스크 통제, 그리고 국가-민간 간 협업 체계 강화가 핵심 과제라고 보고서는 결론지었다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>