전 세계적으로 웹3(Web3) 산업이 성장하고 있지만 보안 리스크는 그에 비례해 완화되지 않았으며, 구조적인 보안 도전에 직면해 있다는 분석이 나왔다.
보안 기업 써틱(CertiK)은 최근 발간한 보고서(‘2025 Skynet Hack3D Web3 보안 보고서’)를 통해 2025년 웹3 손실이 전년 대비 37% 증가했으며, 공급망 공격이 주요 위협으로 부상했다고 밝혔다.
보고서에 따르면 2025년 웹3 분야에서는 총 630건의 보안 사고가 발생해 약 33억5000만 달러의 손실이 발생했다. 이는 2024년 대비 37% 증가한 수치다. 사고 건수는 전년보다 137건 감소했지만, 단일 공격당 평균 피해액은 532만2000달러로 전년 대비 66.6% 급증해 공격자들이 점점 더 고가치 표적에 집중하고 있는 것으로 드러났다.
공격 유형별로 보면, 공급망 공격이 2025년 가장 큰 피해를 야기한 리스크 요인으로 나타났다. 연간 관련 사건은 단 두 건에 불과했지만, 누적 피해액은 14억5000만 달러로 전체 연간 손실의 절반 가까이를 차지했다. 이 가운데 대부분의 피해는 2월에 발생한 바이비트(Bybit) 사고에서 비롯됐다.
보고서에 따르면 바이비트는 2025년 2월 발생한 보안 사고로 약 14억 달러의 피해를 입었으며, 이는 지금까지 발생한 가상자산 탈취 사건 중 최대 규모 중 하나로 평가된다.
써틱은 이러한 사고들이 공격자들이 단일 프로토콜 자체보다는 핵심 서비스 제공업체와 하부 인프라 도구에 자원을 집중하고 있음을 보여준다고 지적했다. 이에 따라 공급망 보안은 더 이상 간과할 수 없는 구조적 리스크로 부상하고 있다고 강조했다.
공격 빈도 측면에서 보면, 피싱 공격은 2025년에도 가장 흔한 보안 위협으로 나타났다. 보고서에 따르면 연간 총 248건의 피싱 공격이 기록됐으며, 이로 인한 피해액은 약 7억2300만 달러에 달했다. 발생 건수는 코드 취약점 공격(240건)보다 소폭 높았다. 보고서는 인공지능(AI)의 확산이 피싱 공격의 기술적 진입 장벽을 크게 낮추고 있다고 강조했다.
보고서는 앞으로 1년 동안 AI 기반의 정교한 사칭 공격, 고도화된 공급망 공격, 개인 사용자를 노린 사회공학 공격이 계속 진화할 것으로 전망했다. 이러한 환경 속에서 보안을 아키텍처 설계, 개발 프로세스, 사용자 경험 전반에 내재화한 프로젝트만이 다음 웹3 경쟁 국면에서 두각을 나타낼 수 있을 것이라고 내다봤다.
댓글 작성