웹3 보안사고 1,200건 넘었다…2025년 피해액 35억 달러 ‘충격’

2025년 한 해 동안 웹3 생태계에서 발생한 보안 사고가 1,200건을 넘어섰고, 누적 피해액도 35억 달러(원화 약 5조 원대)를 초과한 것으로 집계됐다. 탈중앙 금융(DeFi)뿐 아니라 중앙화 거래소(CeFi)까지 공격 표적이 넓어지면서, 업계 전반이 ‘보안 비용 재편’ 국면에 들어섰다는 평가가 나온다.

피해액 35억 달러…웹3 보안 리스크가 ‘상시 비용’으로

블록체인 보안 데이터베이스 집계에 따르면 올해 웹3 분야에서는 사용자와 프로젝트를 직접 겨냥한 중대 보안 사고가 연중 내내 반복됐다. 특히 단일 사건이 커질수록 파급이 크다는 점에서, 보안 사고가 더 이상 일회성 악재가 아니라 서비스 운영의 상시 비용으로 자리 잡았다는 분석이 힘을 얻는다.

2025년 최대 피해 ‘거래소’가 먹잇감…상위 3건이 모두 CeFi

올해 피해 규모 상위권 사건들은 공통적으로 중앙화 플랫폼을 정조준했다. 대표적으로 2월 대형 거래소 해킹이 15억 달러 수준의 피해로 최대 규모로 기록됐고, 이후에도 수억 달러 단위의 침해 사고가 잇달아 발생하며 “거래소 보안이 시장 리스크의 핵심 변수”로 재부상했다.이 흐름은 단순히 거래소가 ‘돈이 많아서’ 공격받는 차원을 넘어, 핫월렛 운영 구조·키 관리 체계·권한 설계 같은 중앙화 인프라의 약점을 공격자가 정교하게 파고든 결과로 해석된다.

공격 유형 1위는 ‘키 탈취’…피싱·러그풀도 여전히 상위권

올해 가장 빈번하게 보고된 공격 방식은 개인키 탈취로, 악성코드(트로이목마 등)나 사회공학 기법을 결합한 형태가 두드러졌다. 그 다음으로는 피싱, 그리고 러그풀(사기성 토큰) 이 뒤를 이었다.정리하면 공격자는 사용자의 실수·부주의를 노리는 피싱/사칭,시스템 권한을 뺏어가는 키 탈취/지갑 장악,프로젝트 구조 자체로 돈을 빼는 러그풀을 동시에 돌려가며 수익 구조를 만든 셈이다.

“정밀 타격 + 광범위 사기” 동시에 온다…공격 전략이 ‘양극화’

보안 업계는 2025년 공격 트렌드를 두 가지로 요약한다.

-초대형 타격형 공격 증가

소수 목표를 겨냥해 큰돈을 가져가는 방식이 늘었다. 단일 사건 피해액이 3,000만 달러를 넘는 ‘대형 공격’이 두 자릿수로 집계됐고, 그중 상당수가 중앙화 플랫폼에서 발생했다는 점이 핵심이다.

-대상 확장형 사기 병행

동시에, 소액 피해자를 대량으로 만들어 누적 피해를 키우는 방식도 계속됐다. 피싱·사칭·가짜 사이트·가짜 에어드랍 같은 전형적인 수법이 여전히 효율적인 ‘돈 버는 모델’로 작동했다.

거래소·프로젝트가 당장 손봐야 할 보안 과제

올해 사건들이 반복적으로 가리킨 취약 지점은 명확하다.키 관리 체계 재설계: 운영자 단일 키 의존, 관리자 권한 과집중 구조는 가장 위험한 형태

멀티시그 기본값화: 출금·권한 변경·핫월렛 운영에 다중 승인 구조 적용

콜드월렛 비중 확대: 핫월렛 상시 노출을 최소화하고, 자금 흐름을 계층화

권한 분리와 로그 감시 강화: 지갑 접근·서버 접근·배포 권한을 분리하고 이상행동 탐지 상시화

시장이 바뀌었다…“보안은 기능이 아니라 생존 조건”

2025년 웹3 보안 사고는 “디파이만 위험하다”는 인식을 깨고, 거래소·중앙화 인프라가 더 큰 표적이 될 수 있음을 보여줬다. 앞으로는 신기능 출시보다 키 관리·권한 구조·자금 보관 정책이 기업의 신뢰도를 결정하는 핵심 지표가 될 가능성이 크다.