웹3 생태계 확산과 함께 디지털 자산에 대한 사이버 공격이 갈수록 정교화되고 있다. 블록체인 기반 분산 시스템은 탈중앙화와 익명성을 기반으로 하지만, 이로 인해 보안 위협에 노출되는 구조적 한계를 가지고 있다. 특히 2025년 들어 웹3 보안 사고로 인한 피해 규모가 급증하면서, 보안 강화를 위한 실시간 대응과 공격 유형 분석의 필요성이 커지고 있다. 최근 몇 년간 피싱, 키 유출, 스마트 계약 취약점 등 다양한 공격 수단이 등장하면서 프로젝트 운영자와 사용자 모두를 겨냥한 복합적 위협이 현실화되고 있다.

글로벌 웹3 보안 기업 서틱(CertiK)이 ‘핵3d(Hack3d): 2025년 2분기 및 상반기 웹3 보안 보고서’를 발표하고, 올해 상반기 웹3 생태계에서 발생한 보안 사고와 손실 현황을 상세히 분석했다. 보고서에 따르면 2025년 상반기 발생한 전체 손실 규모는 약 25억달러로, 이는 이미 2024년 연간 전체 손실액을 초과한 수치다. 공격 방식은 지속적으로 진화하고 있으며, 전체적으로 웹3 보안 상황은 심각한 수준을 유지하고 있다.

피싱 공격 중심으로 손실 증가... 대형 사건 집중화 현상 뚜렷

보고서에 따르면 2025년 2분기 손실액만 약 8억달러에 달하며, 이 중 회수가 불가능한 순손실액은 22.9억달러로 집계됐다. 이 수치는 전년도 순손실액인 19.8억달러를 이미 넘어선 수치다. 특히, 전체 손실 중 약 17.8억달러는 바이비트(Bybit)와 케투스 프로토콜(Cetus Protocol)의 두 보안 사고에서 발생했으며, 이 두 건을 제외한 업계 전체 손실액은 6.9억달러로 나타났다.

2025년 2분기 가장 큰 손실을 유발한 공격 유형은 피싱 공격으로, 해당 분기 동안 약 4억달러의 손실을 초래했다. 이는 전년 동기 대비 증가한 수치로, 피싱이 웹3 사용자 보안의 주요 위협으로 자리잡고 있음을 보여준다. 반면, 개인 키 유출로 인한 사건은 지속적으로 감소하고 있으며, 스마트 계약 코드 취약점에 의한 사고는 평균 수준을 유지하고 있다. 케투스 프로토콜과 같은 사례는 여전히 존재하며, 정적 분석과 다중 감사의 필요성이 강조되고 있다.

실시간 방어 및 보안 체계 강화 절실...커뮤니티 교육도 병행

서틱은 보고서를 통해 웹3 보안이 단순 기술 문제를 넘어 생태계 전반의 신뢰와 연결되는 구조로 진화하고 있다고 평가했다. 특히, 개인 사용자부터 국가 기관에 이르기까지 웹3 참여가 확산됨에 따라, 선제적 방어 체계 구축, 투명한 운영, 실시간 보안 모니터링 체계의 도입이 절실하다고 밝혔다.

보고서에는 가장 많이 공격받은 블록체인 플랫폼, 분기별 주요 보안 사건 톱 3, 3 기술 발전 방향도 함께 포함돼 있다. 아울러 웹3 프로젝트 운영자와 사용자를 위한 보안 권고사항도 함께 수록됐다. 이 권고는 실시간 위협 감지, 지갑 보호, 스마트 계약 검증, 사용자 교육 등 다각적인 보안 전략을 중심으로 구성됐다.

서틱은 매 분기 핵3d 보안 보고서를 발간해 웹3 생태계 내 보안 사고와 주요 동향을 정리하고 있다. 해당 보고서는 웹3 커뮤니티에 보안 교육과 지원을 제공하고, 보안 위협을 체계적으로 파악할 수 있도록 돕기 위한 목적으로 발행된다. 이번 보고서 또한 서틱 공식 웹사이트와 채널을 통해 무료로 제공되고 있다.

서틱은 이번 보고서를 통해 보안 사고와 손실 규모가 커지고 있는 현실을 경고하며, 전 세계 웹3 프로젝트와 사용자에게 지속적인 보안 점검과 위협 대응 역량 강화를 촉구하고 있다. 웹3 환경에서의 보안 강화는 생태계 신뢰 회복과 지속 가능성 확보의 핵심 과제로 부상하고 있다. 

지티티코리아 / 배성철 기자

원문 : https://www.gttkorea.com/news/articleView.html?idxno=20117