뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
1
피싱 피해가 2025년 한 해 동안 83%나 급감하며 암호화폐 보안에 긍정적인 신호를 보였지만, 여전히 새로운 유형의 위협이 증가하고 있다는 진단이 나왔다.
2025년 피싱 피해 8,385만 달러…전년비 83% 급감
블록체인 보안업체 스캠스니퍼(Scam Sniffer)에 따르면 2025년 피싱 공격으로 인한 암호화폐 피해액은 총 8,385만 달러(약 1,212억 원)로 집계됐다. 이는 전년도 피해액 4억 9,400만 달러(약 7,141억 원)에서 무려 83% 감소한 수치다. 피해자 수도 10만 6,106명으로, 전년 대비 68% 줄었다.
피해 규모가 줄면서 대형 사건도 감소했다. 100만 달러(약 14억 4,600만 원) 이상 피해를 입은 사례는 2024년 30건에서 2025년 11건으로 현저히 줄었다. 그중 최대 피해는 지난 9월 발생한 650만 달러(약 94억 9,000만 원) 규모의 피싱 사건으로, 전년도 최대 피해액의 8분의 1 수준이다.
시장은 식었지만 위협은 여전…활동량 따라 피해 변동
피싱 피해가 줄어든 주된 요인으로는 시장 활동 자체가 줄어든 점이 꼽힌다. 스캠스니퍼는 “피해 규모 감소는 실제 위협이 줄었다기보다는 시장 사이클에 따라 사용자 활동이 줄어든 결과”라며 “위협은 여전히 활발하다”고 분석했다.
월별 피해액을 보면 12월에는 204만 달러(약 29억 5,000만 원)로 가장 적었고, 8월에는 최대치인 1,217만 달러(약 176억 원)를 기록했다. 시장이 가장 활발했던 3분기에만 연간 피해의 약 29%인 3,100만 달러(약 448억 원)의 피해가 집중됐다. 반면 4분기엔 활동이 감소하면서 피해액도 1,300만 달러(약 188억 원)로 줄었다.
EIP7702 등장…새로운 서명 공격 기법 부상
2025년 도입된 이더리움 기술 ‘EIP-7702’를 악용한 공격 형태도 새롭게 부상했다. 이 기술은 이더리움 업그레이드 ‘펙트라(Pectra)’와 함께 도입된 계정 추상화(Account Abstraction) 기능으로, 공격자가 단일 서명을 통해 여러 악성 작업을 묶을 수 있도록 한다.
EIP-7702를 통한 최대 피해는 8월 발생한 254만 달러(약 367억 원)로, 2건의 사고에서 발생했다. EIP-7702 외에도 여전히 널리 쓰이는 ‘퍼밋(Permit)’과 ‘퍼밋2’ 서명 방식이 전체 대형 피해의 38%에 해당하는 872만 달러(약 126억 원)의 피해를 야기했다.
개발자 기기 타깃 공격…Bybit 1.46억 달러 피해 사례
서명 피싱 외에도 암호화폐 생태계를 위협하는 피싱 공격 유형은 다양해지고 있다. 대표적인 사례로 2월 발생한 Bybit 관련 사건이 있다. 북한 해킹 조직 라자루스(Lazarus)는 지갑 개발자 기기를 해킹해 멀티시그 인터페이스를 위장한 프로그램을 설치했고, 이로 인해 약 14억 6,000만 달러(약 2조 1,102억 원)의 피해가 발생했다.
이러한 공격은 단순한 서명 피싱을 넘어 거래소 보안과 개발 환경까지 노리는 정교한 시도가 늘고 있음을 시사한다.
‘보이지 않는 위협’ 증가…기록 안 남는 침해 기법 주의
보고된 피해 규모는 줄었지만, 전문가들은 ‘기록되지 않은 유형의 공격’이 증가하고 있다는 점에 주목한다. 스캠스니퍼는 “피해액이 줄었다는 이유로 위협이 사라졌다고 볼 수는 없다”며 “추적이 어려운 개인키 탈취나 맞춤형 사회공학 공격이 증가할 가능성이 높다”고 덧붙였다.
2025년 말 현재, 전 세계 암호화폐 시장 시가총액은 약 3조 800억 달러(약 4,460조 원) 규모에 달하는 만큼, 사용자 활동이 다시 증가할 경우 보안 위협도 다시 커질 수 있다.
🔎 시장 해석
2025년 피싱 피해 급감은 암호화폐 시장 비활성화에 따른 사용자 활동 감소 덕분으로 보인다. 범위가 줄어든 만큼 추적 가능한 피해 규모도 줄었지만, 공격 시도는 여전히 활발하며 새로운 공격 기법까지 등장했다.
💡 전략 포인트
서명 승인 전 계약 내용을 꼭 확인하고, 새로 등장하는 기술(Permit, EIP-7702 등)의 보안 위험을 이해해야 한다. 특히 사용자 활동이 많은 시기(예: 시장 상승기)에는 피싱과 같은 사회공학적 공격이 급증할 수 있어 주의가 필요하다.
📘 용어정리
- 피싱(Phishing): 사용자를 속여 개인정보나 계좌 정보를 빼내는 공격 방식
- 계정 추상화(Account Abstraction): 사용자가 스마트 계약처럼 지갑 동작을 직접 설정할 수 있게 하는 기술
- 서명 피싱(Signature Phishing): 사용자 서명을 유도해 악성 거래를 승인하게 만드는 공격 기법
- Permit/Permit2: 토큰 전송 등을 승인하는 표준 서명 방식
💡 더 알고 싶다면? AI가 준비한 다음 질문들
A. 2025년 피싱 피해액은 전년 대비 83% 감소해 4억 9,400만 달러에서 8,385만 달러로 줄었고, 피해자 수도 68% 줄어 106,106명에 그쳤습니다. 이는 시장 활동이 줄면서 사용자 참여가 감소한 영향이 큽니다. 특히 4분기에는 활동이 식으면서 월 피해액이 1,300만 달러에서 204만 달러로 크게 떨어졌습니다.
A. 피해액 감소는 시장 침체에 따라 공격 노출 기회가 줄었기 때문입니다. 공격 기술 자체는 계속 진화하고 있으며, 피싱 외에도 개인키 탈취 같은 추적이 어려운 수법이 늘고 있어 방심은 금물입니다.
A. EIP7702는 2025년 5월 이더리움의 펙트라 업그레이드를 통해 도입된 기술로, 하나의 서명으로 여러 명령을 수행할 수 있게 해 줍니다. 공격자는 이를 악용해 피해자의 지갑에서 자산을 탈취할 수 있습니다. Permit 서명은 토큰 전송 등에 필요한 승인 수단으로, 이를 위장한 피싱이 가장 흔한 방식입니다.
A. 3분기가 전체 피해의 약 29%인 3,100만 달러로 가장 피해가 컸습니다. 특히 8월에는 월간 피해만 1,217만 달러에 달했고, 같은 달 EIP7702 관련 공격 사례도 집중됐습니다.
A. 네. 2월에는 라자루스 그룹이 개발자 기기를 해킹해 멀티시그 지갑 인터페이스를 위장한 공격을 벌였고, 총 14억 6,000만 달러 피해가 발생했습니다. 이는 전통적 서명 피싱을 넘어 개발 환경 자체를 노린 정교한 침투로 평가됩니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 504회차](https://f1.tokenpost.kr/2026/01/t3mzpdws91.png)
![[토큰포스트] 기사 퀴즈 503회차](https://f1.tokenpost.kr/2025/12/mwurr7i7nl.png)
![[토큰포스트] 기사 퀴즈 505회차](https://f1.tokenpost.kr/2025/12/m8pv4jndrn.jpeg)
![[토큰포스트] 기사 퀴즈 504회차](https://f1.tokenpost.kr/2025/12/pay63r8gym.jpg)
![[사설] NFT·L2 이어 이번엔 '예측 시장'?… 2026년, '베끼기' 말고 '본질'로 승부하라](https://f1.tokenpost.kr/2026/01/3f8u93386j.jpg)
![[코인 TOP 10 주간동향] 인피닛·페페·조라 강세... 체결강도·수익률 동반 급등](https://f1.tokenpost.kr/2026/01/r6pbh4pu18.jpg)
