Web3 산업의 보안 위협이 더욱 정교하고 표적화된 양상으로 진화하고 있다는 분석이 나왔다. 올해 상반기 전체 피해 규모는 지난해 같은 기간보다 감소했지만, 초대형 해킹 사건을 제외하면 실제 피해는 오히려 증가해 업계의 보안 위험 수준은 더욱 높아졌다는 평가다.
글로벌 Web3 보안 전문기업 CertiK은 7일 발표한 'Hack3D: 2026년 상반기 보고서'를 통해 올해 상반기 Web3 생태계에서 총 344건의 보안 사고가 발생했으며, 누적 피해액은 약 13억2,000만 달러를 기록했다고 밝혔다.
표면적으로는 지난해 상반기보다 피해 규모가 46.8% 감소한 것으로 집계됐지만, 보고서는 이를 보안 환경 개선으로 해석해서는 안 된다고 강조했다. 지난해 발생했던 약 14억5,000만 달러 규모의 Bybit 해킹이라는 초대형 단일 사고가 통계에 큰 영향을 미쳤기 때문이다.
이를 제외하면 지난해 상반기 실제 피해액은 약 10억3,000만 달러 수준으로, 올해 피해액은 오히려 약 28% 증가한 것으로 분석됐다. 여기에 일부 회수된 자금을 제외하더라도 실제 손실 규모는 약 12억 달러에 달했다.
보고서는 단순한 피해액 감소보다 공격 양상의 변화를 주목해야 한다고 진단했다. 특히 올해 2분기 보안 사고는 지난해 같은 기간 145건에서 194건으로 34% 늘었으며, 사고 한 건당 피해액 중앙값도 약 16만9,000달러로 전년 대비 60.6% 증가했다. 이는 소규모 공격조차도 과거보다 훨씬 큰 경제적 피해를 유발하고 있음을 의미한다.
CertiK은 "공격 활동의 기준선 자체가 꾸준히 높아지고 있으며 Web3 산업은 더욱 복잡한 보안 위협 환경에 진입하고 있다"고 분석했다.
올해 가장 눈에 띄는 변화는 공격 대상의 이동이다. 그동안 Web3 보안의 최대 위협으로 꼽혀온 스마트 컨트랙트 취약점 대신 지갑 탈취(Wallet Compromise)가 가장 큰 피해를 유발한 공격 유형으로 떠올랐다.
상반기 동안 발생한 지갑 탈취 사건은 총 33건으로 전체 사고의 일부에 불과했지만, 피해 규모는 약 4억5,000만 달러로 전체 손실의 3분의 1 이상을 차지했다.
건당 평균 피해액은 약 1,134만 달러에 달해 다른 공격 유형보다 압도적으로 높았다.
대표 사례인 Drift Protocol 해킹은 약 2억9,000만 달러의 피해를 기록하며 올해 최대 규모 보안 사고 가운데 하나로 집계됐다.
보고서는 공격자들이 이제 스마트 컨트랙트뿐 아니라 개인키 관리 시스템과 멀티시그(Multi-signature) 지갑, 기관용 운영 인프라까지 공격 범위를 확대하고 있다고 설명했다.
피싱 공격도 새로운 양상을 보였다. 올해 상반기 피싱 사고는 63건으로 지난해보다 절반 이상 감소했지만, 피해액은 약 3억7,000만 달러로 여전히 막대한 수준을 유지했다.
특히 사회공학(Social Engineering) 공격은 단 4건만 발생했음에도 약 3억1,000만 달러의 피해를 유발해 전체 피싱 피해의 약 85%를 차지했다.
보고서는 과거처럼 불특정 다수를 노리는 방식에서 벗어나 고액 자산가와 기관 투자자, 대규모 온체인 자산을 보유한 조직을 겨냥하는 표적형 공격으로 전략이 변화하고 있다고 분석했다.
특히 올해 1월 발생한 크로스체인 사회공학 공격은 약 2억9,000만 달러의 피해를 발생시키며 최근 수년간 가장 심각한 사례 중 하나로 기록됐다.
장기간 운영된 스마트 컨트랙트도 새로운 공격 표적으로 떠오르고 있다. 상반기 코드 취약점 관련 사고는 총 204건으로 가장 많은 사고 건수를 기록했으며, 피해액은 약 1억5,000만 달러로 집계됐다. 특히 2분기에는 관련 사고가 78건에서 126건으로 급증했다.
보고서는 AI 기반 코드 분석 기술과 자동화된 보안 분석 도구의 발전으로 과거에는 발견하기 어려웠던 취약점까지 손쉽게 찾아낼 수 있게 된 점을 주요 원인으로 꼽았다.
이에 따라 출시 후 수년간 재감사를 받지 않은 레거시 코드베이스가 새로운 공격 대상으로 빠르게 부상하고 있다는 분석이다.
CertiK은 "프로토콜 출시가 곧 보안의 완성을 의미하지 않는다"며 "정기적인 재감사와 지속적인 보안 점검이 필수 요소가 되고 있다"고 강조했다.
상반기에는 두 건의 초대형 해킹 사건이 전체 피해 규모를 좌우했다. 4월 발생한 Kelp DAO RPC 인프라 공격은 약 2억9,100만 달러, Drift Protocol 해킹은 약 2억8,500만 달러의 피해를 기록했다. 두 사건을 합치면 약 5억7,700만 달러로 상반기 전체 피해액의 44%를 차지한다.
보고서는 일부 대형 사고가 전체 통계에 큰 영향을 미치고 있지만, 더욱 우려되는 점은 이러한 초대형 공격이 점차 빈번해지고 있다는 사실이라고 지적했다.
공격 이후 자금세탁 방식도 한층 복잡해지고 있다. 기존에는 Tornado Cash와 같은 믹싱 서비스가 주로 사용됐지만 최근에는 크로스체인 프로토콜을 활용한 다중 경로 자금 이동과 복합 세탁 방식이 빠르게 증가하고 있는 것으로 나타났다.
특히 수억 달러 규모의 대형 해킹에서는 여러 블록체인을 거치는 크로스체인 자금세탁이 새로운 표준으로 자리 잡고 있다는 분석이다.
보고서는 또한 북한 연계 해커 조직이 여전히 Web3 산업에서 가장 위협적인 공격 세력 가운데 하나라고 평가했다.
이들의 공격은 단순한 취약점 악용을 넘어 공급망 공격, 개발 환경 침투, 사회공학 기법, 기관급 인프라 공격 등으로 확대되고 있으며, 거래소와 멀티시그 관리 체계, 핵심 운영 인력 등을 집중적으로 노리고 있는 것으로 분석됐다.
CertiK은 올해 상반기 Web3 보안 환경의 가장 큰 변화로 '공격 대상의 고도화'를 꼽았다.
지갑 탈취가 스마트 컨트랙트 취약점을 제치고 최대 피해 요인으로 떠오른 데 이어, AI 기술 발전으로 레거시 코드가 새로운 공격 대상이 되고 있으며, 사회공학 공격 역시 소수의 표적을 겨냥해 막대한 피해를 유발하는 방향으로 진화하고 있다는 것이다.
보고서는 "올해 상반기 피해 규모 감소는 통계적 착시 효과에 불과하다"며 "Web3 산업의 실제 보안 위험은 줄어든 것이 아니라 더욱 복잡하고 정교하며 표적화된 형태로 진화하고 있다"고 결론지었다.
기업과 프로젝트 운영자들은 스마트 컨트랙트 보안뿐 아니라 개인키 관리, 멀티시그 운영, 공급망 보안, 정기적인 코드 재감사 등 운영 전반의 보안 체계를 강화해야 한다는 것이 보고서의 핵심 메시지다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.