요즘 코인이나 NFT 투자, 조금씩 해보고 계신가요? 저는 스타트업 다니면서 틈틈이 관심 가지고 보고 있는데, 최근에 나온 해킨(Hacken)의 연간 보안 보고서를 보니 정말 깜짝 놀랐어요. 2025년 한 해 동안 웹3 생태계에서 털려 나간 금액이 약 40억 달러(한화로 약 55조 원!)라고 하거든요. 작년보다 11억 달러나 늘어난 수치라니, 막상 들으니 넷플릭스 연간 구독료 몇 백만 명분인지 계산도 안 될 정도로 어마어마하네요.
그리고 이 손실의 절반 이상, 정확히는 52%가 북한과 연결된 위협 조직 때문이래요. 특히 바이빗(Bybit) 거래소에서만 약 150억 달러가 털린 사건이 가장 컸다고 해요. 이건 기록상 가장 큰 단일 도난 사건이라고 하니, 북한의 사이버 공격이 단순한 소행이 아니라는 게 실감 나요. 북한이 왜 암호화폐에 그렇게 관심을 가질 수밖에 없는지, 경제학을 전공한 입장에서 생각해보면 좀 복잡한 느낌이 들기도 하네요.
근데 진짜 신기한 게 뭐냐면, 이렇게 큰 손실의 원인이 대부분 ‘스마트 컨트랙트’ 같은 복잡한 기술 버그 때문이 아니라는 점이에요. 전체 손실의 54% 가까운 약 21억 달러가 ‘접근 통제 실패’나 ‘운영 보안 붕괴’에서 비롯됐대요. 쉽게 말하면, 회사 문을 잠그는 복잡한 디지털 자물쇠(스마트 컨트랙트)가 문제가 아니라, 그 문의 실제 열쇠를 엉뚱한 곳에 두거나, 퇴사한 직원에게도 열쇠를 그대로 주고, 열쇠 관리 자체를 너무 허술하게 했다는 거죠. 마치 최신형 디지털 도어락을 설치해놓고도 현관 열쇠를 신발장 위에 올려두는 것과 같아요.
보고서에 따르면, 규제 당국들은 이미 ‘좋은 보안’이 뭔지 가이드라인으로 내놓고 있다고 해요. 역할 기반 접근 제어, 안전한 온보딩, 하드웨어 지갑 사용 같은 것들이죠. 하지만 해킨 측 전문가는 2025년에도 많은 웹3 회사들이 여전히 안이한 관행을 유지했다고 지적했어요. 개발자가 퇴사할 때 접근 권한을 안 끊는다든가, 중요한 프로토콜 관리에 개인 키 하나만 사용한다든가 하는 실수들이 계속됐다는 거죠.
솔직히, 규제가 강화되어야 한다는 이야기는 좀 지겹게 들릴 수 있어요. 하지만 사용자 자금을 안전하게 지키는 ‘가장 안전한 기준’이 강제되지 않으면, 이런 대형 사고는 또 반복될 거라는 생각이 들어요. 전문가는 2026년에는 정기적인 침투 테스트, 사고 시뮬레이션, 독립적인 금융 감사 등을 ‘필수 불가결’한 항목으로 treat해야 한다고 강조했네요.
결국 이 리포트가 던지는 메시지는 분명해요. 기술의 복잡성보다 기본적인 운영 관리가 더 중요하다는 것, 그리고 북한과 같은 체계적인 위협에 맞서기 위해 업계와 규제 당국이 함께 움직여야 할 때라는 거죠. 우리가 조금씩 투자하는 암호자산이 안전하게 보관되기 위해서는, 결국 그 자산을 맡기는 플랫폼의 ‘열쇠 관리’가 얼마나 철저한지가 핵심이 될 것 같아요. 다음에 거래소나 지갑 고를 때, 보안 리포트 한번쯤 찾아보는 습관, 들어가는 게 좋을지도 모르겠네요.
—
원문: [CoinTelegraph](https://cointelegraph.com/news/north-korea-theft-poor-key-security-dominate-web3-losses-hacken)