요즘 코인 시장 좀 지켜보고 계신가요? 가격 변동만 봐도 정신이 없는데, 한편으론 해킹 소식도 심심찮게 들려오잖아요. ‘또 털렸구나…’ 싶으면서도 그 규모가 얼마나 큰지, 왜 자꾸 일어나는지 궁금했는데, 최근 나온 보고서 하나가 모든 걸 정리해주더라고요.
보안 회사 ‘해컨’이 발표한 연례 보고서에 따르면, 2025년 한 해 동안 웹3 생태계에서 털려나간 금액이 약 40억 달러(한화로 약 55조 원!)에 달한다고 해요. 작년보다 11억 달러나 늘어난 수치라니, 완전 충격이죠. 우리가 매년 커피값으로, 넷플릭스 구독료로 쓰는 그 돈이 상상이 안 가는 규모로 사라진 거예요.
그리고 더 놀라운 건, 이 엄청난 금액의 절반 이상, 정확히 52%가 북한과 연결된 해컨 그룹의 소행이라는 거예요. 특히 바이빗 거래소에서 발생한 약 150억 달러 규모의 해킹 사건 하나가 기록상 최대 규모의 도난이었고, 이게 북한의 비중을 확 끌어올렸다고 하네요. 북한이 암호화폐 해킹을 주요 외화 벌이 수단으로 삼고 있다는 건 익히 들었지만, 이 정도 규모라니 좀 소름이 돋지 않나요?
근데 진짜 신기한 게 있어요. 우리가 흔히 생각하는 ‘스마트 계약에 숨은 복잡한 버그’ 때문에 큰 피해가 발생했다고 생각하기 쉬운데, 실제로는 그렇지 않았다는 거예요. 보고서를 보면, 스마트 계약 취약점으로 인한 피해는 약 5억 달러 정도였어요. 물론 적은 금액은 아니지만, 전체의 13% 정도밖에 안 되죠.
그렇다면 나머지 87%, 정말 큰 돈은 왜 털렸을까요? 바로 ‘접근 통제 실패’나 ‘운영 보안 문제’ 때문이에요. 쉽게 말해, 열쇠(프라이빗 키) 관리를 허술하게 했다거나, 퇴사하는 개발자의 접근 권한을 제때 회수하지 않았다거나, 보안 감시 시스템이 제대로 작동하지 않았다는 뜻이에요. 마치 은행 금고의 비밀번호를 포스트잇에 적어 모니터에 붙여놓은 것과 같은 실수들이, 수십억 달러 규모의 피해로 이어졌다는 거죠. 기술보다는 기본적인 보안 습관의 문제가 더 컸던 거예요.
해컨의 전문가는 이제 각국 규제 당국이 보안 가이드라인을 ‘강제 규정’으로 바꾸고 있다고 말했어요. 예를 들어 역할 기반 접근 제어, 안전한 온보딩, 하드웨어 지갑 사용 같은 것들을 의무화해야 한다는 거죠. 하지만 2025년에도 많은 회사들이 이런 기본적인 보안 관행을 지키지 않았다고 해요. 규정이 생긴다고 바로 바뀌는 게 아니라는 걸 보여주는 사례인 것 같아요.
그래서 2026년에는 정기적인 보안 점검(펜테스트), 사고 대응 훈련, 독립적인 금융 감사 등을 ‘선택이 아닌 필수’로 여겨야 한다고 조언했어요. 특히 북한의 위협을 특별 감시 대상으로 삼고, 실시간 위협 정보를 공유하는 체계를 만들어야 한다는 의견도 있었구요.
결국 이 보고서가 말해주는 건, 기술이 아무리 발전해도 결국 가장 약한 고리는 ‘사람과 시스템’이라는 거 아닐까요? 우리 개인 투자자들도 거래소나 지갑을 고를 때, 단순히 수수료나 편의성만 보지 말고 ‘이 회사는 보안을 얼마나 진지하게 생각할까?’를 꼭 따져봐야 할 때인 것 같아요. 멋진 기술 뒤에 숨은 기본기의 중요성을 다시 한번 깨닫게 되는 소식이었네요.
—
원문: [CoinTelegraph](https://cointelegraph.com/news/north-korea-theft-poor-key-security-dominate-web3-losses-hacken)