요즘 코인이나 NFT 좀 보시나요? 가격 변동만 봐도 어질어질한데, 보안 문제까지 겹치면 머리가 아프죠. 최근 해킨(Hacken)이라는 보안 회사의 2025년 연례 리포트가 공개됐는데, 내용이 정말 충격적이었어요. 한 해 동안 블록체인 생태계에서 발생한 손실이 작년보다 11억 달러나 늘어난, 무려 3조 9천억 원이 넘는 규모라고 하거든요. 이 돈이면 대형 스타트업 몇 개는 살 수 있는 금액인데 말이에요.
가장 눈에 띄는 건, 이 거대한 손실의 52%가 북한과 연결된 위협 집단에서 비롯됐다는 점이에요. 특히 바이빗(Bybit) 거래소에서 발생한 약 1.5조 원 규모의 해킹 사건이 결정적이었다고 해요. 북한이 암호화폐 해킹을 주요 자금 조달 수단으로 삼고 있다는 건 익히 알려진 사실이지만, 이렇게 전체 손실의 절반 이상을 차지하다니 좀 소름이 끼치지 않나요? 단순한 범죄를 넘어 국가 차원의 체계적인 위협이 된 느낌이에요.
근데 진짜 신기한 게 있어요. 우리가 보통 ‘해킹’이라고 하면 뭔가 복잡한 기술을 이용해 시스템의 취약점을 뚫는 이미지를 떠올리잖아요? 그런데 이 리포트에 따르면, 2025년 가장 큰 손실을 준 원인은 ‘스마트 계약 버그’ 같은 기술적 결함이 아니었대요. 전체 손실의 54% 가까이를 차지한 건 ‘접근 제어 실패’와 같은 운영 보안의 붕괴였답니다.
쉽게 말하면, ‘열쇠’ 관리를 잘못한 거예요. 회사를 나간 개발자의 접근 권한을 그대로 두거나, 중요한 프로토콜을 관리하는 데 개인 키 하나만 의존하거나, 이상 징후를 탐지하는 시스템이 없었던 것들이죠. 마치 집 현관문 열쇠를 누구나 볼 수 있는 화분 밑에 두고 다니는 것과 비슷한 상황이에요. 기술이 아무리 발전해도 사람의 실수와 태만이 가장 큰 구멍이 된다는 게 아이러니하네요.
솔직히, 규제 당국도 많이 부담스러웠을 거예요. 리포트에 따르면 미국과 EU 같은 주요 국가들은 ‘역할 기반 접근 제어’, ‘하드웨어 지갑 사용’, ‘지속적인 모니터링’ 같은 좋은 보안 가이드라인을 이미 제시하고 있다고 해요. 문제는 이게 ‘권고’ 수준에 머물러 있어서, 많은 웹3 회사들이 2025년 한 해 동안도 불안전한 관행을 고수했다는 점이에요. 마치 속도 제한 표지판은 있는데 단속 카메라가 없는 고속도로처럼 말이죠.
다행인 점은, 2026년에는 상황이 나아질 것 같다는 전망이에요. 규제 당국이 가이드라인에서 ‘의무 규정’으로 선을 명확히 그을 것이고, 가장 안전한 표준이 사용자 자금 보호를 위해 도입될 것이라고 해킨의 CEO는 말했어요. 특히 북한과 같은 특정 위협에 대한 실시간 정보 공유를 의무화하고, 위협별 위험 평가를 요구하는 방향으로 나아갈 거라네요.
제 생각엔, 이 리포트가 우리에게 주는 가장 큰 교훈은 ‘기본이 중요하다’는 거예요. 화려한 신기술에만 매료되기보다, 디지털 자산의 ‘열쇠’를 어떻게 안전하게 보관할지, 누구에게 어떤 접근 권한을 줄지에 대한 기본적인 습관과 프로토콜을 다시 한번 점검해볼 때인 것 같아요. 투자하시는 분들도, 자신의 자산이 맡겨진 거래소나 프로토콜이 이런 기본적인 보안 수칙을 얼마나 철저히 지키고 있는지 꼼꼼히 살펴보는 게 현명하지 않을까 싶네요. 결국, 가장 강력한 보안은 복잡한 알고리즘이 아니라 꼼꼼함에서 시작되는 것 같아요.
—
원문: [CoinTelegraph](https://cointelegraph.com/news/north-korea-theft-poor-key-security-dominate-web3-losses-hacken)