15억 달러. 하루 오후에 사라졌다. 2025년 2월, Bybit에서 일어난 일이다. 북한의 Lazarus Group은 암호화를 깨려고 하지 않았다. 사람들을 노렸다. Bybit 팀이 사용한 지갑 인터페이스에 악성 JavaScript를 주입하고, AWS 세션 토큰을 탈취하고, 다중 인증을 우회한 후 401,347 ETH를 가져갔다. FBI는 몇 주 안에 범인을 확인했다.
이 숫자가 충격적인 이유가 여기 있다. 2025년 전체 DeFi 익스플로잇의 합보다 컸다. 한 거래소에서 한 번의 운영 실수로 15억 달러가 날아갔다. Chainalysis는 2025년 블록체인 도난을 34억 달러로 집계했는데, 전년도 22억 달러에서 55% 증가했다. 블록체인 자체는 문제가 아니었다. 그 위에서 운영하는 사람들이 문제였다.
블록체인이 거래를 안전하게 지키는 방법#
블록체인은 분산 원장이다. 전 세계 수천 개의 컴퓨터에 복제된 데이터베이스다. Bitcoin을 보내거나 Ethereum의 스마트 계약과 상호작용할 때, 거래는 영구적이 되기 전에 네트워크에 의해 검증된다. 이를 조작하기 어렵게 만드는 세 가지가 있다.
암호화 해싱은 모든 블록을 이전 블록과 연결한다. 각 블록은 이전 블록 데이터의 해시, 즉 수학적 지문을 포함한다. 한 거래를 바꾸려면 그 이후의 모든 해시를 다시 계산해야 한다. Bitcoin의 경우, 수백만 개의 채굴자가 SHA-256을 실행 중이므로 대부분의 국가보다 더 많은 컴퓨팅 성능이 필요하다.
분산화는 원장을 수천 개의 노드에 분산시킨다. 일반적인 은행 데이터베이스는 한 위치의 서버에 있다. 그 서버를 해킹하면 데이터를 갖는다. 블록체인 네트워크는 단일 실패 지점이 없다. 원장이 모든 곳에 있다. 이를 손상시키려면 그 노드들의 대부분을 동시에 여러 국가와 네트워크, 운영자에 걸쳐 손상시켜야 한다.
합의 메커니즘은 네트워크가 뭔가를 기록하기 전에 동의하도록 강제한다. Bitcoin 채굴자들은 거래를 검증할 권리를 얻기 위해 암호화 퍼즐을 푸는 데 전력을 소비한다. Ethereum 검증자들은 자신의 ETH를 담보로 맡긴다. 부정 거래를 승인하면 그들의 지분을 잃는다. 두 방식 모두 속임수를 비싸게 만든다. Bitcoin의 Proof of Work 합의에 공격하는 데는 하드웨어와 전력에 수십억 달러가 든다. Ethereum의 Proof of Stake에 공격하는 데는 수십억 달러의 ETH를 사서 위험에 처하는 것을 의미한다.
이 세 계층이 함께 작동하는 것이 아무도 Bitcoin이나 Ethereum 블록체인 자체를 해킹한 적이 없는 이유다. 그러나 그 위에 구축하는 인프라는? 그것은 다른 이야기다.
블록체인 유형에 따라 보안 트레이드오프가 다르다#
사람들은 "블록체인"을 하나인 것처럼 말한다. 그렇지 않다. 보안 가정이 매우 다른 여러 유형의 블록체인이 있다.
| 유형 | 참여자 | 검증자 | 보안 의존성 | 사용처 |
|---|---|---|---|---|
| 공개 | 누구나 | 모든 노드 | 공격의 경제적 비용 | Bitcoin, Ethereum |
| 비공개 | 초대만 | 선택된 노드 | 접근 제어, 신뢰 | Hyperledger Fabric |
| 허가형 | 승인된 회원 | 지정된 검증자 | 거버넌스 + 신원 | Ripple, Corda |
| 하이브리드 | 공개 및 비공개 | 다양함 | 복합 접근 | Dragonchain |
공개 블록체인 네트워크는 서로를 확인하는 수천 개의 검증자를 가지고 있다. Bitcoin에 공격하려면 전체 채굴 산업보다 더 많은 지출을 해야 한다. 아무도 그렇게 하지 않았다. 대신에 그 모든 분산된 검증이 느리다.
JPMorgan은 비공개 블록체인을 운영한다. 참여자를 제어해야 하기 때문이다. 은행으로서는 이해가 된다. 그러나 20개의 검증자를 가진 블록체인과 20,000개의 검증자를 가진 블록체인은 완전히 다르다. 소수의 노드를 손상시키면 네트워크를 소유하게 된다. 비공개를 공개보다 선택할 때 하는 거래가 그것이다.
하이브리드 블록체인은 양쪽의 장점을 얻으려고 시도한다. 실제로는 양쪽의 공격 표면도 얻는다.
가장 큰 블록체인 공격과 실제로 잘못된 것#
숫자를 보면 패턴이 명확합니다. 거의 모든 대규모 도난이 블록체인 프로토콜 자체를 공격한 게 아닙니다. 운영 실수였습니다. 누군가 비밀번호를 재사용했습니다. 누군가 개인 키를 서버에 저장했습니다. 누군가 스마트 계약을 제대로 감시하지 않고 배포했습니다.
| 공격 | 규모 | 연도 | 근본 원인 |
|---|---|---|---|
| Bybit | $1.5B | 2025 | 지갑 UI의 악성 JS, AWS 토큰 탈취 |
| DMM Bitcoin | $305M | 2024 | 일본 거래소에서 개인 키 유출 |
| PlayDapp | $290M | 2024 | 개인 키 취약점, 게이밍 플랫폼 |
| WazirX | $230M | 2024 | 보관 인터페이스를 통한 다중 서명 지갑 악용 |
| Cetus DEX | $223M | 2025 | 교환 코드에서 놓친 오버플로우 확인 |
| Balancer | $128M | 2025 | 반올림 방향 버그 |
| Orbit Chain | $80M | 2024 | 크로스체인 브릿지 해킹 |
지갑 유출과 개인 키 도용은 2025년 상반기 도난당한 총액의 69%를 차지했습니다. 직원 계정 침해로 인한 손실은 2024년 전체 사고의 55.6%를 차지했습니다. 아무도 암호화 자체를 깨뜨리지 못했습니다. 사람들이 피싱 링크를 클릭했고, 여러 계정에 같은 비밀번호를 썼고, 개인 키를 노출된 장소에 저장했습니다. 수억 달러 규모의 지루하고 방지할 수 있었던 실수들입니다.
알아야 할 일반적인 블록체인 취약점#
15년이 지났는데도 아무도 블록체인 원장 자체를 해킹하지 못했습니다. 자꾸만 터지는 건 그 주변의 모든 것입니다.
스마트 계약이 문제의 중심입니다. 스마트 계약은 블록체인에서 자동으로 실행되는 코드이며, 배포된 후에는 일반 앱처럼 업데이트할 수 없습니다. 한 줄의 버그가 있으면 누구든지 악용할 수 있습니다. The DAO는 2016년에 재진입성 버그로 6,000만 달러를 잃었습니다. 9년이 지난 지금도 똑같은 문제가 반복되고 있습니다. Chainalysis에 따르면 2024년 전체 도난의 8.5%가 스마트 계약 버그에서 나왔습니다. 보안 회사 Halborn이 상위 100개 DeFi 해킹을 분석했을 때 입력값 검증 실패가 34.6%를 차지했습니다.
| 취약점 | 발생 현상 | 피해 |
|---|---|---|
| 51% 공격 | 한 개체가 네트워크 검증의 대다수를 제어 | Ethereum Classic이 2020년에 여러 번 피격 |
| Sybil 공격 | 가짜 노드가 네트워크를 채워 합의 방해 | 검증자가 적은 더 작은 블록체인에서 흔함 |
| 피싱 | 사용자가 악의적인 거래에 서명하거나 키를 공개 | 2025년 상반기 132건의 사건으로 $410M 손실 |
| 플래시 론 악용 | 빌린 자금으로 단일 거래 내에서 토큰 가격 조작 | Euler Finance — $197M |
| 브릿지 해킹 | 크로스체인 브릿지 버그로 백업 없는 토큰 발행 | 2023년 $338M에서 2024년 $114M으로 감소 |
| 러그 풀 | 개발자가 토큰을 광고한 후 유동성 거두기 | 2024년 총 손실의 1.9% |
Halborn 보고서의 한 통계가 자꾸만 생각납니다. 주요 DeFi 해킹의 대상이 된 프로토콜 중 19%만 다중 서명 지갑을 사용했습니다. 2.4%만 콜드 스토리지를 썼습니다. 일반 은행이 이렇게 운영했다면 규제기관이 영업을 중지시켰을 겁니다. 그런데 대부분의 암호화폐 프로젝트는 둘 다 없이 출시했고 그냥 운을 빌었습니다.
블록체인 보안 모범 사례#
프로젝트가 생존하는 이유는 무엇일까? 그리고 "최대 규모 해킹" 뉴스에 나오는 이유는? 몇 가지가 있는데, 대부분 지루하다.
스마트 계약 감사가 첫 번째다. 배포 전에 독립적인 보안 회사에 코드를 철저히 검토하도록 맡긴다. 재진입 버그, 오버플로우 오류, 접근 제어 문제 같은 것들을 찾는다. 이런 문제들이 2억 달러 규모의 해킹으로 변할 수 있다. 맞다, 비용이 든다.
| 프로젝트 유형 | 감사 비용 |
|---|---|
| 기본 토큰 또는 NFT | $5,000 - $15,000 |
| 스테이킹 또는 거버넌스 프로토콜 | $15,000 - $40,000 |
| 전체 DeFi 프로토콜 (DEX, 대출) | $40,000 - $100,000 |
| 엔터프라이즈 멀티체인 시스템 | $100,000 - $200,000+ |
CertiK, Hacken, OpenZeppelin, Trail of Bits 같은 회사들이 이 일을 한다. 한 가지 조건부 사항: 감사된 계약도 악용된 적이 있다. 하지만 감사되지 않은 계약이 실패하는 비율은 훨씬 높다.
멀티서명 지갑은 상당한 금액을 관리하는 모든 프로젝트에 필수다. 2개 또는 3개의 키가 필요하다는 것은 키 하나가 손상되어도 모든 자금을 잃지 않는다는 뜻이다. Bybit은 멀티서명을 사용했지만 공격자가 키 대신 서명 인터페이스를 표적으로 삼았기 때문에 피해를 입었다. 멀티서명은 한 겹의 방어일 뿐, 완전한 보호는 아니다.
콜드 스토리지는 움직이지 않는 자금을 지키는 가장 효과적인 방법이다. 지갑이 인터넷에 연결되지 않으면 온라인 공격으로 해킹될 수 없다. 2024년과 2025년을 무사히 넘긴 거래소들은 대부분의 고객 자금을 오프라인으로 보관했다.
실시간 모니터링이 차이를 만든다. Venus Protocol은 모니터링 시스템이 공격 정확히 18시간 전에 의심스러운 계약 호출을 탐지했다. 즉시 일시 중지했고 모든 자금을 보호했다. 공격자는 가스 요금만 낭비했다. Chainalysis Hexagate, Forta Network, OpenZeppelin Defender 같은 도구는 24시간 블록체인 활동을 모니터링하고 사람이 놓칠 패턴을 잡는다.
그 다음은 여전히 중요하지만 덜 화려한 것들이다. 개인 키용 하드웨어 보안 모듈, 한 사람이 큰 이체를 혼자 승인할 수 없도록 하는 역할 기반 접근, 정기적인 자격 증명 교체, 사전에 작성된 사건 대응 계획.
DeFi는 개선되고 있고 CeFi는 악화되고 있다#
2024년 DeFi와 CeFi 비교는 충격적이다.
| 2024년 손실 | 사건 수 | 전년 대비 | |
|---|---|---|---|
| DeFi | $769M | 221 | 44.8% 감소 |
| CeFi | $726M | 11 | 77.5% 증가 |
다시 읽어 보자. CeFi는 11건의 사건으로 $726M을 잃었다. 11건이다. 221건의 DeFi 악용 전부와 거의 같은 손실이다. 중앙화된 거래소에서의 하나의 나쁜 날이 수개월의 DeFi 악용보다 더 많은 피해를 입힌다.
DeFi는 실제로 개선되고 있다. 브릿지 해킹이 줄었다. 더 많은 프로젝트가 출시 전에 감사를 받는다. Immunefi의 버그 바운티 프로그램은 화이트햇 해커가 먼저 문제를 찾도록 비용을 지불하고 있고 효과가 있다.
CeFi는 반대 방향으로 가고 있다. 거래소는 소수의 직원 계정 뒤에 막대한 고객 암호화폐를 보유한다. 하나의 피싱 이메일로 한 개발자 계정이 뚫리면 또 다른 9자리 손실 뉴스가 나온다. Bybit은 2025년 2월 해킹 이후 3일 내에 $15억 규모의 고객 준비금을 교체해야 했다. 간신히 관리했다. 모든 거래소가 할 수는 없을 것이다.
블록체인 보안 시장이 확대되고 있다#
Fortune Business Insights는 2025년 블록체인 보안 시장을 $50억으로 평가했고 2026년까지 $84억에 도달할 것으로 예상했다. Coherent Market Insights는 2032년까지 $1,280억에 도달하여 연 57%씩 성장할 것으로 보고 있다.
두 가지가 이를 주도하고 있습니다. 첫째, 매해마다 온체인에 있는 자금이 늘어나므로 보호해야 할 대상이 더 많아집니다. 둘째, 규제당국이 더 이상 선택사항이 아닙니다. EU의 MiCA 프레임워크는 유럽에서 운영되는 모든 암호화폐 사업에 특정 보안 표준을 요구합니다. 미국 CFTC는 토큰화된 담보를 수락하는 디지털 자산 파일럿 프로그램을 출범시켰지만, 강력한 보안 통제를 갖춘 회사로부터만 수락합니다. 기관 자금을 원한다면, 기관 수준의 보안이 필요합니다. 이전에는 마케팅 포인트였습니다. 이제는 법적 요구사항입니다.
기술도 발전하고 있습니다. Anthropic은 AI 분석을 사용하여 스마트 계약 버그에서 460만 달러 상당의 취약점을 발견했습니다. 인간 감사자가 찾으려면 몇 주가 걸렸을 것입니다. 영지식 증명은 블록체인 거래가 검증 능력을 포기하지 않으면서 비공개로 유지되도록 합니다. 다자간 계산은 기업 블록체인 키 관리에서 기존의 다중 서명을 대체하고 있습니다.
당신에게 이것이 의미하는 것#
암호화폐를 보유하고 있다면, 기본 사항이 중요합니다. 하드웨어 지갑을 사용하고, 시드 문구를 종이에 적어 안전한 곳에 보관하고, 앱을 이용한 이중 인증을 설정하고(SMS 제외), 거래소에서 나왔다고 주장하는 링크는 의심하세요. 개인이 암호화폐를 잃는 대부분의 경우는 프로토콜 수준의 취약점 때문이 아니라 피싱이나 부실한 키 저장 때문입니다.
온체인에서 구축하고 있다면, 할 일이 많지만 복잡하지는 않습니다. 출시 전에 감사를 받고, 재무에 다중 서명을 설정하고, 계약을 실시간으로 모니터링하고, 문제가 발생했을 때 대처할 계획을 미리 작성해두세요. 밑바탕인 분산 원장 기술은 견고합니다. 15년간의 비트코인이 이를 증명했습니다. 하지만 그 위에 구축된 스마트 계약, 브릿지, 지갑, 운영 보안은 이를 실행하는 사람들만큼만 안전합니다. 연간 34억 달러의 손실은 우리가 충분히 잘하지 못하고 있다는 뜻입니다.
