Edgen Crypto·Dec 29 2025, 15:12블록체인 보안 기업 Hacken의 보고서에 따르면, 2025년 Web3 부문은 전년 대비 크게 증가한 약 40억 달러의 손실을 기록했습니다. 이 분석은 손실의 주된 원인이 코드 취약점뿐만 아니라 미흡한 운영 보안에 있었으며, 북한과 연계된 해킹 그룹이 전체 도난 금액의 절반 이상을 차지했음을 강조합니다.
Hacken의 2025년 연례 보안 보고서에 따르면, Web3 생태계의 총 손실액은 2025년에 약 39.5억 달러에 달했으며, 이는 2024년 대비 11억 달러 크게 증가한 수치입니다. 이 조사 결과는 공격 방식의 중요한 변화를 보여주며, 이제는 시스템적인 운영 위험이 고립된 코딩 오류보다 더 큰 위협이 되고 있음을 시사합니다. 연초 1분기에 손실이 20억 달러 이상으로 정점을 찍은 후 4분기에는 약 3.5억 달러로 감소했지만, 재정적 피해의 주요 원인은 일관되었습니다.
개인 키 침해, 직원 해고 절차 소홀, 취약한 서명 프로토콜 등 접근 제어 실패는 전체 손실의 거의 54%인 21.2억 달러를 차지했습니다. 이와 대조적으로, 스마트 계약 내의 취약점으로 인한 손실은 약 5.12억 달러였습니다. 이러한 데이터는 업계의 가장 큰 보안 과제가 코드 자체에 있는 것이 아니라 디지털 자산에 대한 접근을 관리하는 사람과 운영 프로세스에 있음을 시사합니다.
올해 손실의 상당 부분은 국가 지원 위협 행위자들에 의해 발생했습니다. 북한과 연계된 해킹 집단은 도난 자금의 약 52%에 책임이 있습니다. 이 수치는 약 15억 달러의 손실을 기록한 Bybit 침해 사건에 크게 영향을 받았으며, 이는 기록상 최대 규모의 단일 암호화폐 절도 사건입니다. 단일 행위자로부터 이처럼 막대한 손실이 집중된 것은 주요 거래소 및 프로토콜이 직면한 표적화되고 지속적인 위협을 강조합니다.
Hacken의 포렌식 분석은 공격자들이 무단 접근을 얻기 위해 점점 더 정교한 피싱 캠페인과 사회 공학에 집중하고 있음을 강조합니다. Hacken Extractor의 포렌식 책임자인 Yehor Rudystia는 당국이 북한의 전술을 특정 감독 문제로 취급하고, 이러한 공격 방식에 초점을 맞춘 실시간 위협 정보 공유 및 위험 평가를 의무화해야 한다고 언급했습니다.
보안 전문가들은 업계가 점점 더 강력한 보안 관행을 요구하는 규제 지침에 뒤처지고 있다고 주장합니다. Rudystia는 2025년 내내 개발자 해고 시 접근 권한을 취소하지 않거나 단일 개인 키로 프로토콜을 관리하는 등 불안전한 관행이 계속되었다고 지적했습니다. 그는 대형 거래소의 경우 정기적인 침투 테스트, 사고 시뮬레이션 및 독립 감사가 2026년에는 협상 불가능한 요구 사항이 되어야 한다고 강조했습니다.
Hacken의 CEO인 Yevheniia Broshevan은 감독 기관이 소프트한 지침에서 비준수 시 처벌이 따르는 강력한 요구사항으로 전환함에 따라 보안 표준이 개선될 것으로 예상한다고 밝혔습니다.
우리는 특히 전용 서명 하드웨어 사용 및 필수 모니터링 도구 구현을 위한 명확한 프로토콜 채택을 통해 업계가 보안 기준을 높일 수 있는 상당한 기회를 보고 있습니다.
— Yevheniia Broshevan, Hacken 공동 창립자 겸 CEO.