‘사람’을 공격하는 것이 코드를 공격하는 것보다 더 쉬우며, Web3에서 도난당한 자금의 회수율은 이미 10% 미만으로 떨어졌다.
작성: Tiger Researcher
번역·편집: AididiaoJP, Foresight News
주요 포인트
- 2026년 4월 현재까지 Web3 해킹 사건이 계속 발생하고 있으며, 특히 4월 한 달 동안만 12건의 해킹 사건이 보고되었다.
- 사회공학 공격 비중은 매년 증가하고 있으며, 2026년 1분기에는 전체 해킹 손실의 74.7%를 차지했다. 공격 대상으로서 ‘사람’은 ‘코드’보다 훨씬 더 취약하다.
- 2020년 이후 지금까지 도난당한 자금의 평균 회수율은 항상 10% 미만을 유지해 왔다. 전통 금융과 달리 Web3는 체인 상에서의 직접적인 도난을 사전에 막을 수 없으며, 공격이 발생하는 순간 자금은 이미 유출된다.
- 바이비트(Bybit)가 15억 달러 규모의 해킹을 당했음에도 불구하고 운영을 지속하고 투자자에게 손실을 입히지 않은 것은 거래소 간 협조 및 비축 자금 덕분이었다. 반면 DeFi 프로토콜의 경우 자산이 프로토콜을 떠나는 즉시 이러한 완충 시간이 존재하지 않는다.
- 반복되는 해킹 사건과 10% 미만의 낮은 자금 회수율은 기관 투자자들이 여전히 Web3 시장에 진입하지 않는 핵심 장벽이다. Web3가 필요한 것은 철학적 논의가 아니라 구조화되고 책임 있는 운영 메커니즘이다.
해킹 공격은 여전히 진행 중이다
@hyperbridge(폴카닷과 이더리움을 연결하는 크로스체인 브리지 프로토콜)가 해킹을 당했다.
공격자는 증명 검증 로직의 취약점을 악용해 위조된 크로스체인 메시지를 생성함으로써 이더리움 상에서 승인되지 않은 약 10억 개의 브리지 DOT 토큰을 발행했다. 확인 결과, 이더리움, 아비트럼(Arbitrum), 베이스(Base), BNB 체인 등 여러 체인에서 사용자 손실액은 총 250만 달러에 달한다.
폴카닷 크로스체인 브리지 공격 이전, DeFi 프로토콜 @DriftProtocol이 2.957억 달러 규모의 심각한 해킹을 당했다. 북한 관련 해커 조직은 6개월간 팀 구성원과 신뢰 관계를 구축한 후 거버넌스 권한을 탈취했는데, 이는 고도로 정밀한 사회공학 공격이었다. 테더(Tether)는 이후 1.275억 달러 규모의 지원 방안을 제시했으나, 총 지원액 1.475억 달러는 여전히 전체 손실액 2.957억 달러를 충당하기에 부족했다.
그 이후 해킹 공격은 멈추지 않았다. 드리프트(Drift) 사건 이후 발생한 소규모 공격들을 포함하면, 단지 4월 한 달 동안만 12건의 해킹이 발생했다. 프로그래머블 파이낸스를 기반으로 하는 이 산업에서 보안 결함은 계속 누적되며, 투자자와 기관 모두 점차 불안감을 느끼고 있다.
해킹 공격의 실제 목표는 ‘사람’이다
드리프트 프로토콜 해킹 사건은 팀 구성원의 컴퓨터가 해킹된 것에서 시작되었다. 공격 대상은 스마트 계약의 취약점이나 시스템 결함이 아니라 ‘사람’이었다.
더 큰 문제는 사회공학 공격이 Web3 해킹 사건에서 차지하는 비중이 지속적으로 확대되고 있다는 점이다.
2021년 사회공학 공격은 전체 해킹 손실의 28.7%를 차지했으나, 2025년에는 64.3%로 증가했고, 2026년 1분기에는 74.7%까지 치솟았다. 사람을 겨냥한 공격은 꾸준히 확대되는 반면, 코드 수준의 취약점 악용 비중은 상대적으로 감소하고 있다.
블록체인의 오픈소스 특성 때문에 과거에는 코드 취약점이 주요 공격 경로일 것으로 예상되었으나, 현실에서는 사회공학이 더 주요한 공격 벡터가 되었다. 그 이유는 단순하다. 이미 권한을 보유한 사람을 공격하는 것이 코드 내 숨겨진 버그를 찾아내는 것보다 훨씬 쉽기 때문이다.
전통 산업 역시 같은 양상을 보이고 있다. 2025년 기업 해킹 사건의 70%가 사회공학을 포함하며, 이 공격 기법은 이미 Web3 분야로 직접 이식되었다.
그러나 Web3와 전통 금융 사이에는 핵심적인 차이점이 하나 있다. 전통 금융에서는 공격 성공 후 자금이 완전히 탈취되는 경우는 드물며, 계좌 동결, 송금 취소, 기관 개입 등 다양한 수단을 통해 피해를 최소화할 수 있다. 반면 Web3에서는 프로토콜 자금이 체인 상에서 직접 인출될 수 있고, 일단 트랜잭션이 확정되면 이를 되돌릴 수 없다.
바로 이것이 Web3가 공격자들에게 매력적인 표적이 되는 이유이다.
자금 회수율은 지속 하락, 손실은 불가역적이다
DeFi 프로토콜 해킹은 매년 수십억 달러의 손실을 초래하지만, 실제로 도난당한 자금을 회수하는 비율은 계속해서 하락하고 있다. 북한의 라자루스 그룹(Lazarus Group) 등 국가 차원의 지원을 받는 공격 세력의 등장과 믹서(Mixer) 및 크로스체인 브리지 등을 통한 점점 더 복잡해지는 자금 세탁 방식으로 인해 자금 회수가 점점 더 어려워지고 있다.
만약 도난 자금을 회수할 수 있다면 최소한의 보안 기준이라도 유지할 수 있겠지만, DeFi의 자금 회수율은 끊임없이 극도로 낮은 수준에 머무르고 있다.
2020년 이후 연간 평균 자금 회수율은 항상 10% 미만을 기록해 왔다. 2021년 폴리 네트워크(Poly Network) 해킹 사건(6.11억 달러)은 유일한 예외였는데, 공격자가 자발적으로 전액을 반환함으로써 해당 연도 데이터가 크게 높아졌다. 이 사건을 제외하면 매년 자금 회수율은 극도로 낮은 수준을 유지해 왔다.
생존자는 대응 역량을 갖춘 플레이어다
모든 Web3 프로젝트가 해킹 공격 후 붕괴되는 것은 아니다. 일반적으로 한 차례의 공격만으로도 붕괴되는 DeFi 프로토콜과 달리, 일부 플레이어는 공격을 견뎌내고 생존에 성공했다.
2025년 바이비트는 15억 달러 규모의 해킹을 당했음에도 불구하고 생존에 성공했다. 거래소 간 협조와 손실을 충당할 수 있을 만큼의 비축 자금이 결정적인 역할을 했다. 도난 자금 전부를 회수하지는 못했지만, 거래소는 계속 운영을 유지했고 투자자에게는 어떠한 손실도 발생시키지 않았다는 점이 핵심이다. 대부분의 거래소는 해킹 및 기타 예기치 않은 사태에 대응하기 위해 독립된 SAFU(Secure Asset Fund for Users) 기금을 보유하고 있다.
반면 DeFi 프로토콜에는 이런 완충 공간이 전혀 없다. 트랜잭션이 완료되는 순간 프로토콜 자산은 사라지며, 아무런 여유가 없다. 가장 현실적인 자금 회수 방법은 공격자와 협상하는 것이지만, 공격자는 거의 협상 의사를 보이지 않는다. 특히 라자루스 그룹 같은 국가 차원의 조직과는 협상 자체가 불가능하다.
전통 금융에서는 공격 발생 후 기관의 개입이 이루어지며, 계좌 동결, 조사, 보험 청구, 법적 소송 등이 순차적으로 진행된다. 그러나 Web3에는 확정된 트랜잭션을 되돌릴 수 있는 권위 있는 기관이 존재하지 않는다. 프로토콜이 가끔 체인 차원의 개입을 요청해 자산을 동결할 수는 있지만, 동결은 회수를 의미하지 않는다.
핵심 제약은 여전히 존재한다: Web3에서는 오류가 발생하면 이를 취소할 수 없다.
기관 시대에 기관을 설득하려면?
우리는 이미 기관 시대에 접어들었다. 이를 수용하든 그렇지 않든, 기관이 시장 방향을 주도하는 추세는 돌이킬 수 없다.
해킹 공격이 계속되고 프로토콜이 잇따라 붕괴된다면 Web3는 기관에 제공할 수 있는 어떤 것도 남지 않게 된다. 기관들의 블록체인 및 DeFi에 대한 관심은 이미 매우 높다. 자산운용의 운영 효율성, 새로운 수익 구조, 7×24시간 운영 시장 등은 모두 강력한 매력 포인트이다.
그러나 프로토콜이 계속해서 해킹을 당하고 붕괴된다면, 아무리 매력적인 효율성 향상과 수익 구조라도 의미를 잃게 된다. 기술적 우위가 아무리 뛰어나더라도, 근본 자산의 안전성이 전제되어야 한다. 10% 미만의 자금 회수율은 여전히 기관 투자자들이 관망하는 가장 큰 이유 중 하나이다.
한 번 기관 자본이 본격적으로 유입되면, 시장 규모는 현재 수준을 훨씬 뛰어넘을 것이다. 이 문을 여는 열쇠는 기술적 우위가 아니라 신뢰할 수 있는 대응 프레임워크이다. 업계가 탈중앙화를 수호하면서도 동시에 기관을 설득하는 데 성공할 수 있는지 여부가, Web3가 다음 단계로 나아갈 수 있는지를 결정할 것이다.
Web3가 지금 필요한 것은 철학이 아니라, 실패를 전제로 설계된 구조와 책임 기반의 운영 메커니즘이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@tiger_research
