
《Hack3d: 2023년도 Web3.0 보안 리포트》 빠르게 살펴보기
글: CertiK
전체 내용은 다음 보고서에서 확인 가능: 『Hack3d: 2023 연도 Web3.0 보안 보고서』
새해를 맞아 CertiK이 매년 발표하는 기대작 『Hack3d: 2023 연도 Web3.0 보안 보고서』가 발간되었다. 업계의 높은 관심을 받는 이 보고서는 지난 1년간 Web3.0 분야에서 발생한 보안 사고들을 통계 및 분석함으로써 Web3.0 보안의 최신 동향을 종합적으로 조명한다.
업계에서 가장 상세하고 권위 있는 보안 보고서로 꼽히는 『Hack3d: 2023 연도 Web3.0 보안 보고서』는 2023년 한 해 동안 Web3.0 생태계 내에서 발생한 해킹 공격, 사기, 취약점 악용 등 다양한 사건들에 대한 포괄적인 통계와 분석을 담고 있으며, 개발자, 실무자, 규제 당국, 사용자 및 애호가들이 Web3.0 보안 현황과 직면한 과제, 기회를 이해하는 데 필수적인 가이드 역할을 한다.
전체 보고서를 읽기에 앞서, 2023년 Web3.0 산업의 전반적인 보안 상황을 간략히 살펴보자.
연례 개요 — 보안 사고 손실 총액, 절반 이상 감소
2023년에는 총 751건의 보안 사고가 발생하여 18억 4천만 달러의 자산 손실이 발생했으며, 이는 2022년의 37억 달러 대비 51% 감소한 수치다. 통계 분석을 통해 CertiK은 이러한 감소 원인이 다각적이라고 판단했다. 스마트 계약 프로토콜의 발전과 진화, 사용자 행동의 변화, 보안 조치의 강화 및 효과성 향상 등이 모두 보안 사고로 인한 손실 총액 감소와 밀접하게 관련되어 있다. 또한 거시적인 산업 동향 역시 보안 사고 건수와 그로 인한 손실에 일정한 영향을 미쳤다.
데이터 인사이트
보안 사고의 시기, 유형, 생태계별로 분류하여 분석한 결과, CertiK은 다음과 같은 의미 있는 인사이트를 도출했다.
1. 3분기 손실이 가장 크고, 11월 단일 월 손실이 가장 심각하다. 2023년 3분기는 연중 손실이 가장 큰 분기로, 183건의 보안 사고가 발생하여 6억 8600만 달러의 손실을 기록했다. 11월에는 45건의 보안 사고로 3억 6400만 달러의 손실이 발생했다.

2023년 월별 보안 사고 발생 건수 및 손실 금액(달러)
2. 개인키 유출 사고가 가장 큰 손실을 초래했다. 전체 사고 중 6.3%에 불과하지만, 8억 8100만 달러의 손실을 기록하며 연간 총 손실의 거의 절반을 차지했다.

2023년 유형별 보안 사고 발생 건수 및 손실 금액(달러)
3. 이더리움의 누적 손실 금액이 가장 크다. 2023년 이더리움에서는 224건의 보안 사고가 발생하여 6억 8600만 달러의 손실이 발생했으며, 평균 사고당 손실 금액은 약 300만 달러다. 모든 생태계 중에서 이더리움의 사고 건수는 가장 많지는 않았지만, 총 손실 금액은 가장 컸다.
4. 크로스체인 보안 사고의 피해가 막심하다. 2023년에는 단 35건의 크로스체인 보안 사고로 7억 9900만 달러의 손실이 발생했는데, 이는 상호 운용성(interoperability) 관련 취약점이 여전히 산업 보안의 핵심 문제임을 보여준다.
산업 동향
또한 여러 주요 보안 사고를 비교 분석함으로써 CertiK은 업계의 새로운 주목할 만한 흐름들도 파악했다.
1. '사후 버그 바운티' 환급금 증가, 그러나 '사후 대응'보다 '예방'이 우선
2023년에는 34건의 보안 사고에서 공격자와의 '사후 버그 바운티(negotiated bounty)' 협상을 통해 2억 1900만 달러의 손실을 회수했으며, 이는 총 손실 18억 달러의 12%에 해당한다. 전년 대비 환급 금액은 54% 증가했다. CertiK은 이러한 전략이 프로젝트의 손실 회복에 어느 정도 도움이 될 수 있지만, Web3.0 프로젝트가 공격자와의 협상을 통해 자산 보안을 지키는 데 의존해서는 안 된다고 본다. 따라서 공격 발생 전에 화이트햇 보안 전문가들이 취약점을 신고하도록 충분한 인센티브를 제공하는 버그 바운티 플랫폼 구축이 무엇보다 중요하다.
각 프로젝트가 '사후 버그 바운티' 협상에 대해 어떤 입장을 가지고 있는지 구체적으로 알고 싶다면, 보고서 내 Euler Finance 및 KyberSwap 사건의 후속 해결 방안에 대한 상세 분석을 참고하라.
2. Web2.0 위험의 Web3.0 확산 — 장기적이고 지속적인 도전
12월 14일, Web3.0 하드웨어 지갑 선두기업 Ledger가 중대한 보안 위기에 직면했다. Ledger의 전직 직원이 피싱 공격의 피해자가 되었으며, 공격자는 GitHub를 통해 그의 NPMJS 계정을 제어한 후 악성 코드를 Ledger의 NPMJS 저장소에 업로드함으로써 Ledger Connect Kit의 접근 권한을 획득하고, 지갑 사용자를 악성 웹사이트로 유도했다. Ledger는 취약점을 발견한 지 40분 이내에 신속히 업데이트를 배포하여 추가 피해를 억제했다. 이번 공격으로 약 61만 달러의 직접 손실이 발생했으며, 금액은 크지 않았지만 Ledger의 명성에 미친 부정적 영향은 측정하기 어려울 정도로 크다.
이번 Ledger 사건은 CertiK과 WalletConnect가 공동으로 해결한 XSS 취약점 사례와 마찬가지로, Web3.0 및 블록체인 생태계가 탈중앙화 정신을 지향하더라도 현재의 Web3.0 애플리케이션은 여전히 Web2.0 생태계 구성 요소(계정 시스템, QR코드, 코드 저장소 등)를 광범위하게 사용하고 있어, Web2.0 시대의 중심화된 취약성 위험을 그대로 물려받고 있음을 상기시킨다. 특정 직원의 계정이 피싱 공격을 당하면, 이는 광범위한 Web3.0 사용자들에게 큰 피해를 줄 수 있다. 따라서 CertiK을 포함한 Web3.0 보안 전문가들은 탈중앙화라는 이념과 소프트웨어 개발 및 유지 관리의 현실 사이에서 균형을 찾아야 하는 장기적이고 지속적인 과제에 직면해 있다.
3. 산업 규제, 성숙 단계로 나아가다
2023년, Web3.0 규제가 점차 성숙해짐에 따라 더 많은 기관들이 블록체인 기술과 기존 비즈니스의 융합을 적극적으로 탐색하고 있음을 CertiK은 기쁘게 지켜보았다. Swift의 상호 운용성 증진 노력, 세계 여러 은행들의 자산 토큰화 실천, 그리고 PayPal 등 인터넷 금융 거물들의 스테이블코인 관련 탐색은 기업이 블록체인 기술과 Web3.0 생태계에 대한 합의를 계속 강화하고 있음을 보여준다.
규제 측면에서도 중국 홍콩, 싱가포르, 일본, 미국, EU, 영국 등 많은 지역에서 스테이블코인 규제 프레임워크 또는 지침을 마련했다. CertiK 팀은 최근 싱가포르 금융청(MAS)의 스테이블코인 프레임워크 수립에 자문 전문가로 참여하여 전문적인 조언을 제공하고 그들의 인정을 받기도 했다. CertiK은 최근 스테이블코인 보안 감사 및 규제 준수 컨설팅 서비스를 출시했으며, 앞으로도 각국 규제 기관의 자문 활동에 적극 참여함으로써 스테이블코인 분야의 안전한 발전과 Web3.0의 대규모 실용화를 지원할 예정이다.
CertiK의 2023년
업계의 공동 노력 덕분에 Web3.0 보안은 2023년 여러 면에서 진전을 이루었다. CertiK은 이 분야에 계속 기여할 수 있게 된 것을 영광스럽게 생각하며 Web3.0의 미래를 위해 노력하고 있다. 이제 CertiK의 2023년 주요 성과를 함께 돌아보자.
-
2023년 7월, 항저우 그룹의 혁신적인 오픈형 크로스플랫폼 신뢰 실행 환경(TEE) HyperEnclave의 고급 형식 검증 완료.
-
2023년 8월과 10월, 애플 iOS 커널의 여러 보안 결함을 발견하여 애플사로부터 두 차례 감사 인사를 받음.
-
2023년 11월, TON 네트워크의 초당 트랜잭션 기록(TPS) 검증 수행.
-
2023년 12월, Wormhole 및 OKX 모바일 앱의 취약점 발견.
이는 CertiK이 2023년 Web3.0 산업 보안을 지키기 위해 기울인 노력의 일부에 불과하다. 2023년의 매 코드 감사, 사고 후의 밤샘 추적, 연구 분석 글 하나하나는 CertiK이 Web3.0 미래 세계에 약속한 책임과 기대의 표현이다.
모든 Web3.0 실무자, 보안 전문가 및 사용자 여러분의 동행에 감사한다. 2023년의 성과와 교훈은 안전한 Web3.0 세상을 구축하는 데 있어 가장 소중한 자산이 될 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










