팟캐스트 Ep.305ㅡ2025년 Web3 보안현황 보고서: 33억 달러가 사라진 해

2025년 Web3 생태계에서 발생한 보안 사고와 그 영향력을 총망라한 「2025 Skynet Hack3D 보고서」가 발표됐다. 글로벌 보안 기업 CertiK이 발간한 이번 보고서에 따르면, 2025년 한 해 동안 발생한 온체인 보안 사고는 총 630건, 피해 규모는 약 33.53억 달러에 달했다. 이는 전년 대비 약 37% 증가한 수치로, 특히 대형 공격의 피해가 급증하며 평균 사고당 손실액도 전년 대비 66% 가까이 증가했다. 보고서는 AI를 이용한 피싱, 공급망 공격 등 고도화된 공격 기법이 확산되며 Web3 산업 전반에 구조적 리스크가 심화되고 있다고 경고했다.

보고서에 따르면 2025년 가장 큰 피해를 가져온 사건은 2월 발생한 Bybit 보안 사고였다. 북한 연계 해킹 조직 라자루스 그룹이 Bybit이 사용하는 외부 지갑 서비스 Safe{Wallet}의 개발자 시스템을 침투해, 악성 코드를 UI에 삽입하고 이를 통해 멀티시그 승인 내역을 변조, 총 14.47억 달러 상당의 자산을 탈취했다. 거래소 자체는 침해되지 않았지만, 공급망 취약점을 노린 이 사건은 Web3 인프라의 상호 의존성과 리스크 전이를 여실히 보여준다.

사고 건수 기준으로는 피싱 공격이 가장 많은 비중을 차지했다. 총 248건으로 가장 흔한 유형이었으며, 피해 금액은 약 7.23억 달러로 집계됐다. AI 기술이 널리 활용되며, 실제 서비스와 거의 구분되지 않는 가짜 DApp·지갑 팝업·고객지원 포털이 생성되고, 다국어 피싱 메시지 자동화로 언어 장벽을 뛰어넘는 공격이 확산되고 있다. 공격자는 온체인 데이터와 소셜미디어 활동을 분석해 고가치 개인을 선별함으로써, 효율적인 타겟팅 공격을 펼치고 있다.

대형 사고 외에도 Cetus(2.25억 달러 손실), Balancer(최초 1.3억 달러, 회수 후 9,640만 달러) 등 다양한 스마트 컨트랙트 취약점 악용 사례도 보고됐다. 특히 Sui 기반 DEX인 Cetus는 유동성 메커니즘 설계 결함을 공략당해 대규모 손실을 입었으며, Sui 검증자들이 개입해 상당액을 회수하는 데 성공했다. 또한 익명의 비트코인 고래 지갑 bc1qxjp는 피싱 피해로 약 3.3억 달러를 잃은 것으로 나타났다.

AI는 방어 측면에서도 사용되고 있다. CertiK은 AI 기반 정형 검증 도구를 활용해 온체인 코드의 결함을 사전에 식별하고 있으며, Skynet Enterprise 등 플랫폼을 통해 기업 고객에게 실시간 리스크 추적 기능을 제공하고 있다. 2025년 기준 CertiK은 총 6,000억 달러 이상의 디지털 자산을 보호하고, 18만 건 이상의 코드 취약점을 식별한 것으로 보고했다. 주요 고객에는 Aptos, Polygon, BNB Chain, TON, Ripple 등이 포함된다.

규제 환경 또한 변화 중이다. 미국은 GENIUS 법안 등을 통해 연방 차원의 디지털 자산 규제 프레임워크를 마련하고 있으며, EU의 MiCA 법률 시행, 싱가포르·홍콩의 규제 샌드박스 확대, 남미의 토큰화 자산 감독 강화 등 글로벌한 규제 명확화 추세가 진행 중이다. 이러한 제도적 기반이 성숙할수록 보다 구조화된 보안·컴플라이언스 체계가 Web3 프로젝트 전체에 요구될 전망이다.

보고서는 2026년 이후 더욱 정교해질 공격 형태로 AI 기반 사칭 공격과 공급망 침해의 고도화를 지목했다. 동시에 실시간 모니터링, 규제 명확화, 방어 AI의 확산은 이러한 위협에 대한 방어역량을 높일 것으로 보인다. 2025년은 Web3 생태계가 다시 한번 “보안의 중요성”을 학습한 해였다. 보안은 선택이 아닌 필수이며, 생태계 주요 플레이어가 보안을 전 운영 의사결정의 중심에 두지 않는 한 유사 피해는 반복될 수 있다는 점이 확인됐다.