33.5억 달러의 '계정 세금': EOA가 시스템적 비용이 될 때, AA가 Web3에 무엇을 가져올 수 있을까?

2025년, Web3 세계는 거대한 서사를 결코 부족하지 않았습니다. 특히 규제가 전환을 완료하고 스테이블코인이 점차 TradFi 체계에 편입되면서, '규정 준수', '편입' 및 '다음 단계 질서 재건'에 대한 논의는 거의 올해의 주된 흐름을 구성했습니다 (관련 기사: 2025 글로벌 암호화폐 규제 지도: 편입 시대의 시작, Crypto와 TradFi가 '합류'한 한 해).

그러나 이러한 겉보기에는 고차원적인 구조적 변화 뒤에, 더 근본적이면서도 오랫동안 간과된 문제가 수면 위로 떠오르고 있습니다. 즉, 계정 자체가 전체 업계의 체계적 위험의 원천이 되어가고 있다는 점입니다.

최근 CertiK가 발표한 최신 보안 보고서는 상당히 눈에 띄는 숫자를 제시했습니다: 2025년 한 해 동안 Web3에서 총 630건의 보안 사건이 발생했으며, 누적 손실액은 약 33.5억 달러에 달했습니다. 만약 이 총량 숫자에만 머문다면, 이는 단지 보안 상황이 심각하다는 또 다른 연례 반복에 불과할 수 있습니다. 그러나 사건 유형을 더 세분화해 살펴보면, 더 경계해야 할 추세를 발견하게 됩니다:

상당 부분의 손실은 복잡한 계약 취약점에서 비롯된 것도 아니고, 프로토콜 계층이 정면으로 공격당한 것도 아닙니다. 오히려 더 원시적이고 불안한 수준, 즉 피싱 공격에서 집중적으로 발생하고 있습니다 — 연간 총 248건의 피싱 관련 사건이 발생하여 약 7.23억 달러의 손실을 초래했으며, 이는 코드 취약점 공격(240건, 약 5.55억 달러)보다 약간 높은 수치입니다.

다시 말해, 많은 사용자 손실 사례에서 블록체인은 오류를 범하지 않았고, 암호학은 해독되지 않았으며, 거래도 완전히 규칙을 준수했습니다.

실제로 문제가 발생한 것은 계정 자체였습니다.

1. EOA 계정, Web3 최대의 '역사적 문제'가 되다

객관적으로 말하자면, Web2든 Web3든, 네트워크 피싱은 항상 사람들이 자금을 손실하는 가장 흔한 방식이었습니다.

차이점은 Web3가 스마트 계약과 비가역적 실행 메커니즘을 도입함으로써, 이러한 위험이 발생하면 종종 더 극단적인 결과를 보인다는 점입니다. 이를 이해하려면 Web3의 가장 기본적이면서도 핵심적인 EOA(Externally Owned Account) 계정 모델로 돌아가야 합니다:

그 설계 논리는 극도로 순수합니다. 개인키가 소유권이고, 서명이 의지입니다. 누가 개인키를 소유하느냐에 따라 계정의 전체 통제권을 가집니다. 이 모델은 초기 단계에서 의심할 여지 없이 혁명적인 의미를 가졌습니다. 이는 수탁 기관과 중개 시스템을 우회하여 자산 주권을 직접 개인에게 돌려주었습니다.

그러나 이 설계는 동시에 극도로 급진적인 전제를 내포하고 있습니다. 즉, EOA의 가정에서는 사용자가 피싱당하지 않고, 오작동하지 않으며, 피로, 불안 또는 시간 압박 속에서 잘못된 판단을 하지 않을 것이라고 가정합니다. 한 번 거래에 서명되면, 그것은 사용자의 진실되고 완전히 결과를 이해한 의지 표현으로 간주됩니다.

현실은 분명히 그렇지 않습니다.

2025년에 빈번히 발생한 보안 사건은 바로 이 가정이 반복적으로 깨진 직접적인 결과입니다. 악의적인 거래에 서명하도록 유도당하든, 충분히 확인하지 않고 송금을 완료하든, 그 공통점은 기술적 복잡성에 있는 것이 아니라, 계정 모델 자체가 인간 인지의 한계에 대한 오류 허용 능력이 부족하다는 데 있습니다 (관련 기사: EOA에서 계정 추상화까지: Web3의 다음 도약은 '계정 체계'에서 일어날 것인가?).

대표적인 시나리오는 온체인에서 오랫동안 사용되어 온 Approval 권한 부여 메커니즘입니다. 사용자가 특정 주소에 권한을 부여할 때, 그 본질은 상대방이 다시 확인 없이 자신의 계정에서 자산을 이체할 수 있도록 허용하는 것입니다. 계약 논리상 이 설계는 효율적이고 간결합니다. 그러나 실제 사용에서는 이는 빈번히 피싱과 자산 청산의 시작점이 되고 있습니다.

예를 들어, 최근 발생한 5천만 달러 규모의 주소 중독(Address Poisoning) 사건에서 공격자는 시스템을 뚫으려 시도하지 않았습니다. 대신 앞뒤 네 글자가 매우 유사한 '유사 주소'를 구성하여 사용자가 서둘러 송금을 완료하도록 유도했습니다. EOA 모델의 결함도 여기에서 확연히 드러납니다. 누구도 매번 극히 짧은 시간 안에 수십 자 길이의 의미 없는 정보 문자열을 확인할 수 있다고 보장하기는 정말 어렵습니다.

결국, EOA 모델의 기저 논리는 당신이 속았는지 여부에는 관심이 없고, 오직 한 가지, 당신이 '서명했는지' 여부만을 중시합니다.

이것이 바로 주소 중독 성공 사례가 최근 몇 년간 계속해서 보도되는 이유입니다. 공격자는 51% 공격처럼 힘들고 보상이 적은 일을 할 필요가 전혀 없습니다. 충분히 유사한 주소를 만들어 중독시키고, 사용자가 부주의하게 복사, 붙여넣기, 확인하는 것을 기다리기만 하면 됩니다.

결국 EOA는 이것이 상호작용한 적 없는 낯선 주소인지 판단할 수 없고, 이번 작업이 역사적 행동 패턴에서 현저히 벗어났는지 인식할 수도 없습니다. EOA에게 이것은 단지 합법적이고 유효한 거래 명령일 뿐이며, 반드시 실행되어야 합니다. 이렇게 오랫동안 간과된 역설은 피할 수 없게 되었습니다: Web3는 암호학적 수준에서는 극도로 안전하지만, 계정 수준에서는 예외적으로 취약합니다.

따라서 이 관점에서 볼 때, 2025년에 발생한 33.5억 달러의 업계 손실은 단순히 '사용자가 충분히 주의하지 않았다'거나 '해커 수단이 업그레이드되었다'고 귀결될 수 없습니다. 오히려 계정 모델이 실제 금융 규모로 밀려났을 때, 그 역사적 부채가 집중적으로 나타나기 시작한 신호입니다.

2. AA의 역사적 필연성: Web3 계정 체계에 대한 체계적 시정

결국 대량의 손실이 시스템이 '완전히 규칙에 따라 운영'되는 상황에서 발생한다는 자체가 가장 큰 문제입니다.

예를 들어 CertiK의 통계에서, 피싱 공격, 주소 중독, 악의적 권한 부여, 오서명 등 사건은 거의 공통된 전제를 가지고 있습니다: 거래 자체는 합법적이고, 서명은 유효하며, 실행은 비가역적입니다. 이들은 합의 규칙을 위반하지도 않고, 이상 상태를 유발하지도 않으며, 블록 탐색기에서 보기에도 아주 정상적으로 보입니다.

시스템 시각에서 보면, 이것들은 공격이 아니라, 정확히 실행된 사용자 명령의 연속이라고 할 수 있습니다.

결국 EOA 모델은 '신원', '권한', '위험 부담' 세 가지를 하나의 개인키로 압축합니다. 일단 서명이 완료되면, 신원이 확인되고, 권한이 부여되며, 위험도 한 번에, 취소 불가능하게 부담하게 됩니다. 이러한 극단적 단순화는 초기 단계에서는 효율성의 장점이었습니다. 그러나 자산 규모, 참여 인구 및 사용 시나리오가 변화할 때, 이것은 명백한 제도적 결함을 드러내기 시작했습니다.

특히 Web3가 고빈도, 크로스 프로토콜, 장시간 온라인 사용 상태로 점차 진입하면서, 계정은 더 이상 가끔 조작하는 콜드 지갑이 아닙니다. 지불, 권한 부여, 상호작용, 청산 등 다중 기능을 담당하고 있습니다. 이러한 전제 하에서 '매번의 서명이 완전한 합리적 의사결정을 대표한다'는 가정은 더 이상 성립하기 어렵습니다.

이 관점에서 볼 때, 주소 중독이 자주 성공하는 이유는 공격자가 더 똑똑해서가 아닙니다. 계정 모델이 인간이 쉽게 범하는 실수에 대한 완충 메커니즘이 전혀 없기 때문입니다 — 시스템은 이것이 상호작용한 적 없는 대상인지 묻지 않고, 금액이 역사적 행동에서 현저히 벗어났는지 판단하지 않으며, 작업이 이상해도 지연이나 이차 확인을 유발하지 않습니다. EOA에게는 서명이 유효하기만 하면, 거래는 반드시 실행되어야 합니다.

사실, 전통 금융 체계는 이미 답을 제시했습니다. 송금 한도, 냉각 기간, 이상 동결, 권한 분급 및 취소 가능한 권한 부여 등은 본질적으로 간단하지만 현실적인 사실을 인정하는 것입니다. 즉, 인간은 항상 합리적이지 않으며, 계정 설계는 이를 위해 완충 공간을 마련해야 한다는 것입니다.

바로 이러한 배경에서 Account Abstraction(AA)은 그 진정한 역사적 위치를 나타내기 시작합니다. 이는 계정 본질에 대한 재정의에 더 가깝습니다. 계정을 수동적으로 서명을 실행하는 도구에서, 의도를 관리할 수 있는 주체로 전환하는 것을 목표로 합니다.

핵심은 AA의 논리 하에서 계정이 더 이상 단순히 하나의 개인키와 동일시되지 않는다는 점입니다. 계정은 다중 검증 경로를 가질 수 있고, 다양한 유형의 작업에 차별화된 권한을 설정할 수 있으며, 이상 행동이 나타날 때 실행을 지연시킬 수 있고, 심지어 특정 조건을 충족할 때 통제권을 회복할 수도 있습니다.이것 또한 탈중앙화 정신에 대한 배반이 아닙니다. 오히려 그 지속 가능성에 대한 수정입니다. 진정한 자기 수탁은 사용자가 한 번의 실수로 영구적인 결과를 감당해야 한다는 의미가 아닙니다. 중앙화된 수탁에 의존하지 않는 전제 하에서, 계정 자체가 오류 방지 및 자기 보호 능력을 갖추는 것을 의미합니다.

3. 계정의 진화가 Web3에 가져올 수 있는 것은 무엇인가?

필자는 여러 번 한 말을 재차 강조합니다: "매번 성공한 사기 뒤에는 Web3 사용을 중단하는 사용자가 한 명 생기며, Web3 생태계는 새로운 사용자가 전혀 없는 상황에서 갈 곳이 없을 것입니다."

이 차원에서 볼 때, 보안 기관이든 지갑 제품이든, 혹은 다른 트랙의 업계 Builder든, 더 이상 '사용자 오작동'을 개인의 부주의로 간주할 수 없습니다. 오히려 전체 계정 체계가 실제 사용 시나리오에서 충분히 안전하고, 충분히 이해 가능하며, 충분히 오류를 허용할 수 있도록 하는 체계적 책임을 져야 합니다.

따라서 AA가 그 안에서 할 수 있는 역사적 역할은 바로 여기에 있습니다. 간단히 말해, AA는 기술적 수준의 계정 업그레이드뿐만 아니라, 일련의 보안 논리에 대한 제도적 조정입니다.

이러한 변화는 먼저 계정과 개인키 관계의 이완에서 나타납니다. 오랫동안 니모닉 구문은 Web3 자기 수탁의 패스포트로 간주되었습니다. 그러나 현실은 반복적으로 증명하듯이, 이러한 단일점식 키 관리 방식은 대부분의 일반 사용자에게 친숙하지 않습니다. AA는 소셜 복구 등의 메커니즘을 도입함으로써, 계정이 더 이상 특정 개인키와 강하게 결합되지 않도록 합니다. 사용자는 여러 명의 신뢰할 수 있는 수호자를 설정할 수 있으며, 기기 분실 또는 개인키 실효 시 검증을 통해 계정 통제권을 복구할 수 있습니다.

심지어 AA에 Passkey가 결합되면, 우리는 현실 금융 체계에서 사람들이 계정 안전에 대해 가지는 직관적 인식에 진정으로 가까운 것을 구축할 수 있습니다 (관련 기사: 니모닉 구문 없는 Web3: AA × Passkey, Crypto의 다음 10년을 어떻게 정의할 것인가?).

마찬가지로 중요한 것은 AA가 거래 마찰을 재구성한다는 점입니다. 전통적인 EOA 체계 하에서, 가스비는 거의 모든 온체인 작업의 숨은 문턱을 구성합니다. AA는 Paymaster 등의 메커니즘을 통해, 거래 수수료가 제삼자에 의해 대납되거나, 스테이블코인을 직접 사용하여 지불될 수 있도록 합니다.

이는 사용자가 한 번의 송금을 완료하기 위해 추가로 소량의 네이티브 토큰을 준비할 필요가 없으며, 더 이상 복잡한 가스 논리를 이해하도록 강요받지 않는다는 의미입니다. 객관적으로 말하자면, 이러한 무감각 가스 경험은 보너스가 아닙니다. Web3가 초기 사용자 층을 벗어날 수 있는지 여부를 결정하는 핵심 조건 중 하나입니다.

또한, AA 계정은 스마트 계약의 네이티브 능력을 통해, 원래 분리된 다단계 작업을 한 번의 원자적 실행으로 패키징합니다. DEX 거래를 예로 들면, 과거에는 권한 부여, 서명, 거래, 다시 서명 등 여러 단계를 거쳐야 했습니다. 그러나 AA 계정 하에서는 이러한 작업이 한 번의 거래에서 완료될 수 있으며, 모두 성공하거나 모두 실패합니다. 이는 비용을 절약할 뿐만 아니라, 중간에 실패하여 발생하는 무효 손실도 피할 수 있습니다.

더 깊은 변화는 계정 권한 자체의 가소성에서 나타납니다. AA 계정은 더 이상 '전권 통제 아니면 완전히 통제 불가'라는 이원