요즘 코인 시장 흐름 보시면서, ‘보안’이라는 단어가 좀 더 무겁게 느껴지지 않으세요? 저는 가끔 모바일 지갑 열 때도 조마조마한데, 최근 나온 한 보고서를 보니 그 걱정이 결코 과한 게 아니라는 생각이 들더라고요.
보안 업체 해킨(Hacken)이 발표한 2025년 연간 보고서를 보면, 웹3 분야의 총 손실이 약 39.5억 달러에 달한다고 해요. 작년보다 11억 달러나 증가한 수치죠. 이 중 정말 놀라운 점은 52%, 즉 절반 이상이 북한과 연결된 위협 행위자들 때문이라는 겁니다. 특히 바이빗(Bybit) 해킹 사건 하나만 거의 150억 달러에 달해서 기록상 최대 규모의 단일 도난으로 꼽혔네요. 규모가 어마어마하죠?
근데 진짜 신기한 게 있어요. 보통 우리가 생각하는 해킹이란 복잡한 코드를 뚫는 이미지잖아요? 하지만 이 보고서를 보면, 가장 크고 회복하기 어려운 손실은 여전히 ‘약한 개인키’, ‘유출된 서명자’, ‘부실한 퇴사 절차’ 같은 기본적인 운영 보안 실패에서 비롯된다고 합니다. 쉽게 말해, 금고(스마트 계약) 자체는 튼튼한데, 금고 열쇠(개인키)를 컴퓨터 메모장에 적어놓은 셈이에요.
솔직히 공감 가는 부분이에요. 스타트업에서 일하다 보면, 개발자 분이 퇴사하셨는데도 일부 접근 권한이 남아있는 경우를 가끔 목격하거든요. 웹3 세계에서도 똑같은 문제가 훨씬 더 큰 규모로 벌어지고 있다는 거죠. 해킨에 따르면, 이런 접근 제어 실패와 운영 보안 붕괴가 전체 손실의 54%인 약 212억 달러를 차지했다고 해요. 반면, 진짜 스마트 계약 취약점으로 인한 손실은 약 51억 달러에 그쳤답니다.
이제 미국과 EU 같은 주요 규제 당국은 ‘좋은 보안’이 무엇인지 가이드라인으로 제시하고 있어요. 역할 기반 접근 제어, 안전한 온보딩, 하드웨어 지갑 사용 같은 것들이죠. 하지만 해킨의 포렌식 팀장은 이게 아직 ‘의무 규정’이 되지 못해 많은 회사들이 2025년 내내 불안전한 관행을 이어갔다고 지적했어요.
그래서 2026년에는 분위기가 달라질 거라고 예상합니다. 규제 당국이 가이드라인에서 강제 규칙으로 선회하면서 보안 기준이 한 단계 올라갈 테니까요. 해킨의 공동 창립자도 사용자 자금을 보호하기 위해 가장 안전한 표준이 도입되면 전체 보안이 개선될 것이라고 말했네요.
결국 이 보고서가 던지는 메시지는 분명해요. 북한의 위협을 특별 감독 대상으로 삼아야 한다는 점도 중요하지만, 우리가 투자하는 플랫폼이나 프로토콜이 정기적인 보안 점검(펜테스트), 사고 시뮬레이션, 독립적인 금융 감사를 ‘선택’이 아닌 ‘필수’로 여기고 있는지 확인해야 한다는 거죠.
코인 투자할 때 차트 분석도 중요하지만, 그 자산이 들어있는 ‘금고’가 얼마나 안전한지 한번쯤 꼼꼼히 점검해보는 것, 이제는 필수 코스가 아닐까 싶네요. 기본이 가장 어렵지만 가장 중요한 법이니까요.
—
원문: [CoinTelegraph](https://cointelegraph.com/news/north-korea-theft-poor-key-security-dominate-web3-losses-hacken)