2025년 Web3 보안 위협, 정교화된 공격에 33.5억달러 피해…서틱, 연간 리서치 공개

2025년 Web3 생태계는 기술적 진보와 규제 확장, 사용자 기반의 확대에 힘입어 전례 없는 성장을 경험했으나, 동시에 그 이면에서는 보안 위협이 더욱 정교화되고 심화되는 흐름이 병행됐다. 서틱 리서치(CertiK Research)가 발표한 연간 리서치 보고서에 따르면, 2025년 한 해 동안 집계된 온체인 보안 사고는 총 630건에 달했고, 총 피해액은 약 33.53억 달러에 이르렀다. 이는 전년 대비 약 37.06% 증가한 수치다.

2025년 단일 사고당 평균 피해액은 532.19만 달러로 전년 대비 66.64%나 증가했다. 그러나 이 수치는 2월에 발생한 Bybit 사건이 전체 산업 통계를 왜곡한 결과로 분석된다. 서틱 리서치에 따르면, 북한 해커 조직 라자루스 그룹이 제3자 지갑 서비스 'Safe{Wallet}'의 개발자 노트북을 침투한 뒤 자바스크립트 코드 삽입을 통해 멀티시그 보호 체계를 무력화하는 데 성공했고, 이로 인해 약 14.47억 달러가 탈취됐다. 이 한 사건이 전체 연간 피해액의 40% 이상을 차지한 셈이다.

그러나 Bybit 사건을 제외하고 보면 전반적인 탈취 자금 규모는 오히려 감소했다. 이로부터 전문가들은 Web3 보안 환경이 소규모 다발성 해킹보다 소수 정예형 고가치 공격 중심으로 전환되고 있다는 해석을 내놓고 있다. 실제로 공급망 공격은 두 건의 사례에서 무려 14.51억 달러의 손실을 초래하며, 공격의 복잡성과 파급력을 여실히 증명했다.

가장 빈번했던 공격 방식은 피싱이었다. 총 248건의 피싱 공격이 보고되었으며, 이로 인한 피해액은 약 7.23억 달러에 달했다. 이는 코드 취약점 공격(240건, 5.55억 달러 손실)을 소폭 웃도는 수준이다. 서틱 리서치 보고서는 이러한 피싱 공격이 인간 심리를 조작하는 데 중점을 둔 저비용·고빈도 전략임을 지적하며, 대다수가 AI 기술을 활용한 정교한 UI 구성, 다국어 캠페인, 온체인 데이터 기반 표적화 메시지를 동반하고 있다고 분석했다.

특히 피싱 공격의 상당수는 Ice Phishing과 같은 방식으로 진행되었다. 이는 사용자의 자산 이동 권한을 승인하도록 유도해 피해를 발생시키는 수법으로, 서명 유출 없이도 토큰이 공격자 지갑으로 이전될 수 있다. 공격자들은 스마트 컨트랙트나 지갑 팝업 화면까지 가짜로 생성하며, 피해자는 정상 승인 요청으로 오인하기 쉬운 환경에 노출된다.

공격의 표적은 이더리움(ETH)이 압도적으로 많았다. 보고서에 따르면, 이더리움 네트워크는 총 310건의 해킹·사기·취약점 악용 사고가 발생해 약 16.98억 달러의 피해를 입었고, 사건당 평균 피해 규모는 578.52만 달러에 달했다. 비트코인(BTC) 역시 주요 공격 대상이 되어 22건의 사고에서 5.28억 달러의 손실을 기록했다.

기타 주요 사건으로는 Cetus Protocol이 2.25억 달러 규모의 피해를 입은 해킹, 피싱 피해자 'bc1qxjp'에게 발생한 3.3억 달러 상당의 도난, 그리고 Balancer의 가격 계산 로직 결함을 악용한 1.13억 달러 손실 사례가 있었다. 이들 대부분은 공격이 발각된 이후 부분적인 자산 회수 작업이 이뤄졌지만, 여전히 전체 피해의 상당수는 미복구 상태다.

한편, 암호자산 시장이 급성장하면서 개인 사용자에 대한 위협 역시 높아지고 있다. 보고서는 개인 신뢰를 조작하는 돼지 도살형 사기나 고압적 투자 사기가 증가 추세에 있으며, 딥페이크와 음성 모방 기술을 활용한 신뢰 조작이 새로운 위협으로 부상했다고 경고한다. 사용자 데이터가 전통 거래소 유출에 연동돼 지리적 위치 정보까지 공격자에게 노출되는 사례도 발생하고 있어, 물리적 강압을 동반한 '렌치 어택' 위험까지 제기되고 있다.

이에 대해 서틱 리서치는 지갑 권한 철회, 다중 인증 구현, 메신저 피드백 경계, 공지 교차 검증 등 개인 사용자가 취해야 할 7대 보안 수칙을 제시했다. 아울러 기관 관점에서는 보안 감사, 정형 검증, 모의 해킹 등 사전적 보안 역량 도입 외에도 Skynet Enterprise와 같은 모니터링 및 리스크 분석 툴의 도입이 권장된다.

글로벌 규제 환경도 변화하고 있다. 미국은 GENIUS 법안을 통해 디지털 자산의 기반 규제체계를 마련했고, 유럽연합(EU)은 MiCA 시행을 본격화하고 있다. 싱가포르, 홍콩 또한 토큰화 증권과 국경 간 결제 파일럿 정책을 도입하는 등 Web3 산업을 제도권에 편입하려는 움직임이 두드러지고 있다.

2026년에는 AI 사칭 공격, 공급망 공격 고도화, 인프라 노드 대상 침해 시도가 다시금 주요 위협으로 떠오를 가능성이 높다. 이에 따라 실시간 모니터링 강화, 규제 체계 정립, AI 기반 보안 도구 확산이 Web3 산업의 다음 단계를 뒷받침할 핵심 키워드가 될 전망이다. 누구보다 경쟁력을 갖춘 Web3 프로젝트는 보안을 단순한 검토 항목이 아닌 운영의 중심 가치로 삼는 프로젝트가 될 것이라는 분석이 지배적이다.