2025년 암호화폐 범죄 피해 34억달러…바이비트·업비트·빗썸 사건이 드러낸 보안 취약점

암호화폐 시장이 성장하면서 관련 범죄 피해도 빠르게 확대되고 있다. BBC에 따르면 2025년 한 해 동안 약 34억 달러(약 4조8천500억 원) 규모의 암호화폐가 해킹과 사기 등 범죄로 도난당한 것으로 집계됐다. AOL은 미국 연방수사국(FBI) 자료를 인용해 암호화폐 사기가 현재 미국 전체 금융 사기 손실의 절반을 차지한다고 전했다.

대규모 피해가 발생했지만 사건의 근본 원인은 해커의 기술력보다 시스템 취약점과 보안 관리 부실, 그리고 사람의 실수였다. 블록체인 보안 기업 슬로우미스트(SlowMist)에 따르면 2025년 기록된 해킹 사건은 약 200건이었지만 피해 규모 대부분은 소수의 대형 사건에 집중됐다.

2025년 가장 큰 사건은 2월 발생한 바이비트(Bybit) 해킹이다. 두바이에 기반을 둔 이 거래소에서는 약 14억6천만 달러(약 2조 원) 규모의 암호화폐가 유출됐다. 해커들은 거래소 시스템을 직접 공격하지 않고 바이비트가 사용하는 외부 공급업체를 먼저 침투했다. 이후 40만1천 이더리움(ETH)을 전송하는 지갑 주소를 해커가 통제하는 주소로 변경했다.

시스템은 변조된 주소를 정상 주소로 인식했고 자금은 그대로 해커에게 전송됐다. 이 사건 하나만으로도 2025년 전체 암호화폐 도난 피해의 절반 가까이를 차지했다. BBC는 이번 공격의 배후로 북한 해커 조직을 지목했다. 거래소 자체 보안을 강화하더라도 외부 공급망의 취약점 하나가 전체 시스템을 무너뜨릴 수 있다는 점을 보여준 사례로 평가된다.

같은 해 국내에서도 대형 사건이 발생했다. 2025년 11월 국내 암호화폐 거래소 업비트에서는 약 445억 원 규모의 코인이 외부 지갑으로 유출되는 사고가 발생했다.

헤럴드경제와 국회 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면 해킹은 11월 27일 새벽 4시42분부터 5시36분까지 약 54분 동안 진행됐다. 이 과정에서 약 1천40억6천470만 개의 코인이 외부 지갑으로 전송됐다. 이는 초당 약 3천200만 개의 코인이 유출된 수준으로 금액 기준 약 1천370만 원에 해당한다.

유출된 자산은 모두 솔라나(Solana) 계열 24종이었다. 개수 기준으로는 봉크(BONK)가 약 1천31억2천238만 개로 전체의 99.1%를 차지했다. 금액 기준으로는 솔라나(SOL)가 약 189억8천822만 원으로 가장 컸으며 펫지펭귄 약 38억5천162만 원, 오피셜트럼프 약 29억1천763만 원 등이 뒤를 이었다.

사건 이후 대응 과정도 논란이 됐다. 업비트는 사고 인지 후 18분 만인 오전 5시에 긴급회의를 열었고 약 27분 뒤 솔라나 계열 입출금을 중단했다. 그러나 전체 가상자산 입출금을 전면 중단한 시점은 오전 8시55분이었다. 금융감독원에 대한 첫 보고는 오전 10시58분에 이뤄졌다. 해킹을 인지한 이후 약 6시간이 지난 뒤였다.

현행 법체계에서는 거래소 해킹에 대해 명확한 제재나 이용자 배상을 강제하는 규정이 부족하다는 지적도 제기된다. 금융감독원이 현장 점검을 진행하고 있지만 중징계로 이어지기 어렵다는 것이다. 업비트 측은 피해 자산을 자체적으로 충당해 이용자 피해가 발생하지 않도록 조치했으며 침해 사고로 최종 확인된 즉시 당국에 보고했다고 밝혔다.

해킹뿐 아니라 단순한 실수도 대형 사고로 이어질 수 있다. 2026년 2월에는 국내 거래소 빗썸에서 비트코인 오지급 사고가 발생했다.

세계일보에 따르면 빗썸 직원이 당첨금 62만 원을 지급하는 과정에서 단위를 잘못 입력하면서 62만 개의 비트코인이 이용자 계좌로 지급됐다. 당시 시가 기준으로 수십조 원 규모에 해당하는 금액이었다.

거래소는 약 35분 만에 거래와 출금을 중단했지만 이미 86명이 비트코인을 매도했고 이 가운데 27명은 약 30억 원을 현금으로 인출한 것으로 알려졌다. 오지급된 비트코인의 약 99.7%는 회수됐지만 일부 금액은 회수가 쉽지 않은 상황이다.

법적 문제도 드러났다. 이원상 조선대 법학과 교수에 따르면 가상자산은 형법상 ‘재물’이 아닌 ‘재산상 이익’으로 분류되기 때문에 횡령죄 적용이 어렵다. 민사 소송에서 승소하더라도 상대가 이미 자산을 사용한 경우 강제 집행이 쉽지 않으며 판결부터 집행까지 3~5년이 걸릴 수 있다.

거래소 사고의 경우 거래소가 피해를 보상하는 사례가 많지만 개인 투자자가 피해를 입는 경우 상황은 다르다. 개인 지갑이나 계정이 해킹될 경우 대부분 스스로 책임을 져야 한다.

공용 와이파이 환경에서 거래소에 접속하는 것도 대표적인 위험 요소로 꼽힌다. 카페나 호텔 같은 장소에서 로그인할 경우 동일 네트워크에 접속한 공격자가 로그인 정보나 거래 데이터를 가로챌 수 있기 때문이다. 이러한 위험을 줄이기 위해 네트워크 트래픽을 암호화하는 VPN 사용이 보안 수단으로 제시된다.

최근에는 개인 투자자를 노린 공격도 빠르게 늘고 있다. 블록체인 분석 업체 체이널리시스(Chainalysis)에 따르면 개인을 대상으로 한 공격 건수는 2022년 약 4만 건에서 2025년 약 8만 건으로 두 배 증가했다. 피해 금액은 약 7억1천300만 달러(약 1조 원) 규모로 추산된다.

대표적인 공격 방식으로는 ‘클리퍼(clipper)’ 악성코드가 있다. 이 악성코드는 컴퓨터 클립보드를 감시하다가 사용자가 지갑 주소를 복사하면 이를 해커의 주소로 바꿔치기한다. 지갑 주소가 길고 복잡해 사용자가 이를 확인하지 않는 경우가 많다는 점을 노린 수법이다.

‘인포스틸러(infostealer)’ 악성코드는 브라우저와 지갑 프로그램에 숨어 로그인 정보와 데이터를 몰래 수집한다. 이러한 악성코드는 2025년 랜섬웨어 증가의 주요 원인 중 하나로도 지목된다.

전문가들은 바이비트, 업비트, 빗썸 사건과 개인 투자자 피해 사례를 종합하면 규모와 방식은 다르지만 근본 원인은 비슷하다고 분석한다. 보안 취약점과 관리 부실, 사람의 실수 등 가장 약한 고리가 반복적으로 공격 대상이 되고 있다는 것이다.

기본적인 보안 수칙 준수도 강조된다. 신뢰할 수 있는 거래소를 이용하고 2단계 인증(2FA)을 반드시 활성화해야 한다. 모르는 사람이 보내는 투자 제안이나 메시지는 높은 수익률을 제시하더라도 의심하는 것이 필요하다.

또 암호화폐를 송금할 때는 지갑 주소를 확인하고 큰 금액을 보내기 전에 소액 테스트 송금을 진행하는 것이 안전하다.

2025년 발생한 주요 사건들은 해커가 항상 가장 약한 고리를 노린다는 점을 보여준다. 바이비트 사건에서는 외부 공급업체 취약점이, 업비트 사건에서는 대응 공백이, 빗썸 사건에서는 직원의 입력 실수가 대형 사고로 이어졌다. 기술이 발전하더라도 자산을 보호하기 위한 기본적인 보안 습관이 여전히 중요한 이유다.