웹3는 블록체인 기반의 탈중앙화 인터넷을 지향하며, 사용자가 직접 데이터와 자산을 소유하는 패러다임을 제시하고 있다. 이 기술은 스마트 컨트랙트, 탈중앙화 애플리케이션(dApp), 분산 금융(DeFi) 등으로 확장되며 빠르게 생태계를 구축하고 있으나, 동시에 고도화된 보안 위협에도 직면하고 있다. 웹3 환경의 핵심은 ‘탈중앙화’에 기반하나, 사용자 스스로 보안 책임을 져야 하기 때문에 단 한 번의 실수도 치명적인 피해로 이어질 수 있다.

1분기 피해액 16.7억달러...중앙화 거래소 보안 사고가 주된 원인

블록체인 보안 기업 서틱(CertiK)이 발표한 ‘Hack3d 2025년 1분기 웹3 보안 보고서’에 따르면, 해당 분기 동안 총 197건의 공격이 발생했으며, 이로 인해 탈취된 자산은 약 16.7억달러에 달했다. 이는 전 분기 대비 약 303.38% 증가한 수치로, 웹3 생태계에 심각한 위협이 되고 있다.

특히 이 중 약 14.5억달러는 중앙화 거래소(CEX)인 바이비트(Bybit)의 보안 사고에서 발생한 것으로, 한 건의 공격이 전체 피해액의 대부분을 차지했다. 이 사건은 CEX의 구조적 보안 한계에 대한 업계 전반의 논의와 우려를 증폭시키는 계기가 되었다.

개인 키 유출, 가장 치명적인 위협으로 부상

보고서는 1분기 동안 가장 심각한 위협으로 ‘개인 키 유출’을 지목했다. 총 15건의 사건에서 약 1.42억달러의 손실이 발생했으며, 이는 단일 사용자의 보안 실수 또는 시스템 결함이 막대한 금전적 피해로 이어질 수 있음을 보여준다.

개인 키는 블록체인 사용자 자산에 직접 접근할 수 있는 열쇠로, 이의 유출은 자산 자체를 잃는 결과로 직결된다. 이에 따라 웹3 사용자와 개발자 모두가 보다 철저한 키 관리 체계를 갖춰야 한다는 필요성이 강조되고 있다.

피싱 공격, 가장 빈번한 위협...AI·딥페이크 악용

1분기 중 가장 자주 발생한 공격 유형은 피싱이었다. 총 81건의 피싱 공격이 보고되었으며, 피해액은 약 1600만달러로 집계되었다. 피해 규모는 상대적으로 작지만, 발생 빈도가 매우 높아 누적 피해가 상당하다는 점에서 경계가 필요하다.

보고서는 피싱 공격이 점차 정교해지고 있으며, 사회공학적 전략이 고도화되고 있다고 지적했다. 가짜 dApp, 악성 브라우저 확장 프로그램, 딥페이크 기술 등을 활용해 사용자의 신뢰를 악용하고, 민감한 정보를 탈취하는 방식이 보편화되고 있다.

AI와 스마트 컨트랙트 조작까지… 보안 체계 우회 시도 지속

사회공학 기법과 함께 AI 및 스마트 컨트랙트 조작 등 기술을 동원한 공격도 증가 추세에 있다. 공격자들은 기존의 방어 체계를 우회하기 위한 다양한 방식으로 Web3 플랫폼을 침투하고 있으며, 특히 자동화된 인공지능 기법을 통해 신속하고 대규모의 공격을 감행하고 있다.

보고서는 암호화폐 사용률 증가 및 디지털 자산 가치 상승이 향후 보안 위협을 더욱 키울 것이라 전망하며, 개발자와 플랫폼 운영자들에게 예방 중심의 보안 전략 수립을 촉구하고 있다.

대응 전략 

이번 보고서에는 해킹이 가장 많이 발생한 블록체인 플랫폼과 피해 사례 톱3 분석도 포함되어 있다. 이를 통해 블록체인별 취약 지점을 파악하고, 유사 사례의 재발을 방지할 수 있는 통찰을 제공하고 있다.

또한 사용자와 개발자를 위한 보안 강화 전략도 함께 제시되었다. 다중 서명, 하드웨어 월렛 사용, 코드 감사를 통한 스마트 컨트랙트 안정성 확보 등 실질적인 대응 방안이 포함되어 있어 실무적 가치가 높다.