CertiK 연례 보안 보고서: 2025년 웹3 손실 전년 대비 37% 증가 예상, 피싱 공격 및 공급망 사고가 주요 위협으로 부상
- 核心观点:Web3安全风险加剧,损失金额激增。
- 关键要素:
- 供应链攻击损失占比近半,单次损失巨大。
- 钓鱼攻击高发,AI技术降低攻击门槛。
- 单次攻击平均损失激增66.6%,达532万美元。
- 市场影响:推动行业将安全视为基础设施核心。
- 时效性标注:中期影响。
세계 최대 웹3 보안 기업인 서티크(CertiK)는 12월 23일, 지난 한 해 동안 웹3 분야에서 발생한 주요 보안 사고와 위험 추세를 체계적으로 분석한 "2025 스카이넷 Hack3D 웹3 보안 보고서"를 발표했습니다. 보고서는 시장 회복세와 명확해진 규제 기대 속에 웹3 산업이 빠르게 성장하고 있지만, 보안 위험은 그에 상응하게 줄어들지 않고 여전히 시스템적인 보안 문제에 직면해 있다고 지적합니다.
보고서에 따르면 2025년 웹3 도메인에서 630건의 보안 사고가 발생하여 총 약 33억 5천만 달러의 손실이 발생했으며, 이는 2024년 대비 37% 증가한 수치입니다. 사고 건수는 전년 대비 137건 감소했지만, 공격당 평균 손실액은 532만 2천 달러에 달해 전년 대비 66.6% 급증했습니다. 이는 공격자들이 고가치 목표물을 집중적으로 노리는 추세를 보여줍니다.
공급망 공격으로 연간 손실액 증가
공격 유형별로 살펴보면, 2025년에는 공급망 공격이 가장 큰 손실 원인으로 나타났습니다. 한 해 동안 관련 사건은 단 두 건만 발생했지만, 누적 손실액은 14억 5천만 달러에 달해 연간 총 손실액의 거의 절반을 차지했습니다. 특히 2월에 발생한 바이빗(Bybit) 공격이 이러한 손실의 대부분을 차지했습니다.
보도에 따르면, 바이비트(Bybit)는 2025년 2월에 약 14억 달러 규모의 손실을 초래한 보안 사고를 겪었으며, 이는 현재까지 가장 큰 규모의 암호화폐 자산 도난 사건 중 하나로 여겨집니다. 공격자들은 거래소 시스템에 직접 침입한 것이 아니라, 제3자 다중 서명 지갑 서비스 제공업체의 개발자 환경을 해킹하여 서명 과정에 악성 코드를 삽입함으로써 여러 승인 절차를 우회했습니다.
CertiK는 보고서에서 유사한 사건들이 공격자들이 특정 프로토콜 자체보다는 핵심 서비스 제공업체와 기본 도구에 자원을 집중하고 있음을 반영하며, 공급망 보안이 무시할 수 없는 시스템적 위험이 되었다고 지적했습니다.
피싱 공격이 만연하고 있으며, AI는 이러한 공격을 "증폭"하는 역할을 하고 있습니다.
공격 빈도 측면에서 볼 때, 피싱은 2025년에도 가장 흔한 보안 위협으로 남을 것입니다. 보고서에 따르면 한 해 동안 총 248건의 피싱 공격이 발생하여 약 7억 2,300만 달러의 손실을 초래했으며, 이는 코드 취약점 공격(240건)보다 약간 많은 수치입니다.
CertiK은 이 수치가 여전히 과소평가되었을 가능성이 있다고 보고 있다는 점에 주목할 필요가 있습니다. 특히 손실 규모가 작은 소셜 엔지니어링 공격이나 오프체인에서 발생하는 공격처럼 개인 사용자를 대상으로 하는 수많은 피싱 및 사기 행위가 보고되지 않고 있습니다.
보고서는 인공지능의 광범위한 도입으로 피싱 공격의 기술적 장벽이 크게 낮아지고 있음을 강조합니다. 공격자들은 인공지능을 활용하여 매우 사실적인 피싱 웹사이트, 지갑 팝업, 다국어 사기 메시지를 생성하고, 이를 온체인 데이터 및 소셜 미디어 콘텐츠와 결합하여 "정밀 타겟팅"을 시도하고 있습니다. 문법 오류나 템플릿 특징에 의존하는 기존 방어 방식은 점차 효과를 잃어가고 있습니다.
규제가 명확해짐에 따라 안전은 "비용 항목"에서 "인프라"의 핵심 요소로 전환되고 있습니다.
위험이 증가하고 있는 가운데, 보고서는 글로벌 규제 환경의 긍정적인 변화도 지적합니다. 스테이블코인 및 디지털 자산의 투명성에 관한 미국의 입법 진전은 업계에 더욱 명확한 정책 신호를 보내고 있으며, EU의 MiCA 프레임워크와 싱가포르 및 홍콩의 규제 샌드박스 또한 웹3를 보다 표준화된 개발 단계로 이끌고 있습니다.
CertiK 보고서는 기관 및 규제 기관의 자금 지원이 시장에 지속적으로 유입됨에 따라 보안 역량이 "사고 후 복구"에서 프로젝트 설계 및 운영의 핵심 요소로 자리 잡고 있다고 지적합니다. 프로젝트 소유자와 개별 사용자 모두에게 보안은 더 이상 선택 사항이 아니라 장기적인 사업 지속 가능성에 영향을 미치는 중요한 변수입니다.
보고서는 인공지능 기반 스푸핑 공격, 점점 더 정교해지는 공급망 침입, 그리고 개별 사용자를 대상으로 하는 소셜 엔지니어링 공격이 내년에도 계속 진화할 것이라고 지적하며 결론을 맺습니다. 이러한 배경 속에서 아키텍처, 개발 프로세스, 그리고 사용자 경험에 보안을 내재화한 프로젝트만이 차세대 웹3 경쟁에서 성공할 것입니다.
전체 보고서: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a
