2025년 Web3 생태계는 사용자 수의 급증과 기술적 혁신, 규제의 확장 덕분에 이전에 없던 성장을 기록했지만, 이와 동시에 심각한 보안 위협도 증가하고 있다고 서틱 리서치(CertiK Research)가 발표했다. 본 연간 보고서에 따르면, 2025년에는 총 630건의 온체인 보안 사고가 발생했으며, 이로 인한 총 피해액은 약 33.53억 달러에 달한다. 이는 전년 대비 37.06% 증가한 수치로, 특히 단일 사건당 평균 피해액이 532.19만 달러로 66.64% 증가한 결과가 드러났다.
가장 주요한 사건 중 하나는 2월에 발생한 Bybit 해킹 사고다. 이 사건에서는 북한 해커 조직인 라자루스 그룹이 ‘Safe{Wallet}’의 개발자 노트북에 침투해 멀티시그 보호 체계를 무력화시키고, 약 14.47억 달러를 탈취했다. 이 사건은 전체 피해액의 40% 이상을 차지하며, 이후의 통계에 상당한 영향을 미쳤다. 그러나 Bybit 사건을 제외한 경우, 탈취 자금 규모는 감소하는 경향을 보였다. 이는 Web3 보안 환경이 대규모 해킹보다는 소수의 정예형 고가치 공격으로 변화하고 있다는 전문가들의 해석이 따랐다.
또한, 가장 많은 공격 유형은 피싱으로, 총 248건의 피싱 공격이 발생했으며, 피해액은 약 7.23억 달러에 달했다. 이는 코드 취약점 공격으로 인한 5.55억 달러의 손실을 조금 초과하는 수준이다. 서틱 리서치는 이러한 피싱 공격이 고빈도, 저비용 전략을 기반으로 하고 있으며, 대부분 AI 기술을 활용한 정교한 UI 및 다국어 캠페인에 의해 더욱 악화되었다고 분석했다.
특히 ‘Ice Phishing’ 공격 방식이 주목받고 있다. 이 방식은 사용자에게 자산 이동 권한 승인을 유도해 피해를 발생시키는 방식으로, 사전 서명 없이도 토큰이 공격자 지갑으로 이전될 수 있다는 점에서 심각하다. 피싱 공격의 주요 대상으로는 이더리움(ETH)이 있으며, 보고서에 따르면 이더리움 네트워크에서 310건의 해킹, 사기, 취약점 악용 사고가 발생해 약 16.98억 달러의 피해가 발생했다.
개인 사용자를 노린 새로운 위협으로는 돼지 도살형 사기와 고압적 투자 사기가 증가하고 있으며, 딥페이크 및 음성 모방 기술을 이용한 신뢰 조작 수법이 주목받고 있다. 이러한 변화는 개인 데이터가 전통 거래소 유출과 결합되어 지리적 위치 정보까지 공격자에게 노출되는 사례가 발생하고 있음을 보여준다. ‘렌치 어택’ 등 물리적 강압에 의한 공격 위험성까지 높아지고 있는 상황이다.
이러한 위협에 대응하기 위해 서틱 리서치는 개인 사용자들이 지키야 할 7가지 보안 수칙을 제안하고 있으며, 기관들은 보안 감사 및 리스크 분석 도구의 도입을 권장하고 있다. 글로벌 규제 환경도 변화하고 있으며, 미국에서는 디지털 자산의 기반 규제체계를 마련하기 위해 GENIUS 법안을 도입하고 있고, 유럽연합(EU)은 MiCA 시행을 통해 Web3 산업에 대한 제도적 기반을 마련하고 있다.
2026년에는 AI 사칭 공격, 공급망 공격의 고도화, 인프라 노드 침해 시도 등이 다시 주요 위협으로 부각될 것으로 예상된다. 따라서 실시간 모니터링 강화 및 AI 기반 보안 도구의 확산이 Web3 산업의 성장에 필수적일 전망이다. Web3 프로젝트 운영의 중심에 보안을 두는 것이 앞으로의 생존 전략으로 자리 잡을 것으로 분석되고 있다.
