본문으로 건너뛰기

코드는 안전합니다 — 그들이 노리는 것은 여러분의 키입니다: 크립토 22억 달러 규모의 인프라 타겟팅 전환 분석

· 약 9 분
Dora Noda
Dora Noda
Software Engineer

가상자산 역사상 가장 비싼 대가를 치른 코드 한 줄은 버그가 아니었습니다. 그것은 바로 피싱 링크였습니다.

2025년 2월, Safe{Wallet}의 한 개발자가 일상적인 메시지로 보이는 것을 클릭했습니다. 몇 시간 만에 북한 공작원들은 AWS 세션 토큰을 탈취하고, 다중 인증 (MFA)을 우회하여 Bybit에서 15억 달러를 빼냈습니다. 이는 크립토 역사상 단일 사건으로는 최대 규모의 절도였습니다. 스마트 컨트랙트 취약점은 이용되지 않았습니다. 온체인 로직도 실패하지 않았습니다. 코드는 괜찮았습니다. 사람이 문제였습니다.

TRM Labs의 2026년 크립토 범죄 보고서는 당시의 해킹 사건이 예고했던 바를 확인해 줍니다. 크립토의 주요 위협 벡터로서 스마트 컨트랙트 익스플로잇의 시대는 끝났습니다. 공격자들은 "스택의 위쪽"으로 이동하여, 새로운 코드 취약점을 찾는 대신 보안이 잘 갖춰진 프로토콜을 둘러싼 키, 지갑, 서명자 (signer), 클라우드 제어 평면 (cloud control planes)과 같은 운영 인프라를 침해하는 방식을 택하고 있습니다.

숫자가 말해주는 냉혹한 현실

2025년에는 약 150건의 고유한 해킹과 익스플로잇을 통해 불법 행위자들이 28.7억 달러를 훔쳤습니다. 하지만 손실 분포를 보면 실질적인 변화가 드러납니다. 총 도난 자산의 76%인 22억 달러가 스마트 컨트랙트 익스플로잇이 아닌 인프라 공격에서 발생했습니다. 공격자들은 개인 키를 타겟으로 삼고, 클라우드 자격 증명을 침해하며, 중앙화된 엔티티의 지갑 오케스트레이션 레이어를 악용했습니다.

이 역설은 매우 인상적입니다:

  • 사건 수는 절반으로 감소: 2024년 410건에서 2025년 약 200건으로
  • 손실액은 증가: 2.01억 달러에서 2.94억 달러로
  • 건당 평균 손실액은 두 배 이상 증가: 약 500만 달러에서 거의 1,500만 달러로

공격 횟수는 줄어들었지만 수익은 커졌습니다. 이는 가치가 높은 타겟에 화력을 집중하는 법을 배운 성숙한 공격자 집단의 전형적인 특징입니다.

한편, 2025년 전체 불법 크립토 거래량은 전년 대비 145% 증가한 1,580억 달러로 사상 최고치를 기록했습니다. 이러한 급증은 단순 잡범이 아니라 국가 연계 행위자와 정교한 금융 네트워크에 의해 주도되었으며, 러시아 연계 제재 회피가 주요 원인이었습니다.

공격자들이 스택의 위쪽으로 이동한 이유

이러한 변화는 경제적 논리에 부합합니다. 스마트 컨트랙트 감사는 비약적으로 성숙해졌습니다. 2020년에서 2025년 사이, 업계는 코드 감사에 수십억 달러를 쏟아부었습니다. CertiK, Trail of Bits, OpenZeppelin과 같은 회사들은 체계적인 방법론을 구축했고, 형식 검증 (formal verification) 도구는 표준이 되었으며, 버그 바운티 프로그램은 화이트햇 해커들이 취약점을 발견할 경제적 유인을 제공했습니다.

그 결과, 현재 최상위 DeFi 프로토콜에서 새로운 스마트 컨트랙트 취약점을 찾는 데에는 3년 전보다 훨씬 더 많은 노력과 전문 지식이 필요합니다. 따기 쉬운 열매는 이미 다 따버린 셈입니다.

하지만 운영 인프라는 그만큼의 관심을 받지 못했습니다. 키 관리 관행은 업계 전반에 걸쳐 천차만별입니다. 클라우드 보안 설정은 여전히 일관성이 없습니다. 그리고 보안 사슬의 가장 약한 고리인 인간은 아무리 많은 코드 감사를 거쳐도 막을 수 없는 사회 공학적 공격에 여전히 취약합니다.

최상위 공격자들에게 계산은 간단합니다. 단 한 번의 오후 작업으로 개발자를 피싱하여 권한 있는 AWS 액세스 권한을 얻고 15억 달러를 훔칠 수 있는데, 왜 굳이 몇 달씩 들여가며 모호한 재진입성 (reentrancy) 버그를 찾겠습니까?

북한: 세계에서 가장 위험한 크립토 적대 세력

크립토 인프라 타겟팅 전환을 논할 때 북한을 빼놓을 수 없습니다. 라자루스 그룹 (Lazarus Group)과 그 하부 조직인 트레이더트레이터 (TraderTraitor)는 지구상에서 가장 정교하고 자금이 풍부한 크립토 공격 세력입니다.

2025년 북한 해커들은 전년 대비 51% 증가한 최소 20.2억 달러 상당의 암호화폐를 훔쳤으며, 이는 전 세계 크립토 절도액의 약 60%를 차지합니다. 이것은 단순한 기회주의적 해킹이 아니었습니다. 국가적 차원의 프로그램이었습니다.

Bybit 공격은 그들의 진화된 방법론을 잘 보여줍니다. 트레이더트레이터 요원들은 스마트 컨트랙트 버그를 찾지 않았습니다. 그들은 높은 시스템 액세스 권한을 가진 Safe{Wallet}의 특정 개발자를 식별하고, 가짜 구인 제안이나 투자 기회를 포함한 표적형 사회 공학 캠페인을 실행하여 개발자가 악성 소프트웨어를 다운로드하도록 설득했습니다. 거기서부터 그들은 고용주의 클라우드 인프라에 접근할 수 있는 임시 자격 증명인 AWS 세션 토큰을 탈취했습니다.

공격자들은 비밀번호가 아닌 활성 세션 토큰을 훔침으로써 MFA를 완전히 우회했습니다. Safe{Wallet}의 AWS 환경에 침투한 후, 그들은 트랜잭션 서명 프로세스를 조작하여 15억 달러 상당의 이더리움을 자신들이 통제하는 지갑으로 리디렉션했습니다.

초기 액세스를 얻기 위한 사회 공학, 클라우드 인프라를 통한 측면 이동 (lateral movement), 서명 메커니즘 조작으로 이어지는 이 공격 패턴은 전통적인 금융 기관을 타겟으로 하는 지능형 지속 위협 (APT) 그룹의 수법과 일치합니다. 차이점은 크립토의 운영 보안이 이러한 위협 수준을 따라잡지 못했다는 것입니다.

이 프로그램은 직접적인 해킹을 넘어섭니다. 북한 공작원들은 신분을 위조해 크립토 기업 내부에 IT 인력으로 잠입하여 내부로부터 권한 있는 접근권을 확보합니다. 이러한 내부자들은 내부 시스템, 보안 제어 및 키 관리 관행을 파악하는 정찰 활동을 수행하며, 이는 뉴스 헤드라인을 장식하는 파괴력 있는 침해 사고를 가능하게 합니다.

3억 달러의 1월: 2026년 피싱의 지배력

2025년이 인프라 타겟팅으로의 변화를 보여주었다면, 2026년 초는 그것이 새로운 표준(new normal)이 되었음을 확인시켜 주었습니다. 보안 업체인 CertiK과 PeckShield에 따르면, 2026년 1월 한 달 동안에만 피싱 및 사회 공학적 공격으로 인해 암호화폐 사용자들로부터 3억 달러 이상의 피해가 발생했습니다.

단일 건으로 발생한 2억 8,400만 달러 규모의 Trezor 사칭 공격이 1월 총 피해액의 71%를 차지했으며, 이는 사회 공학적 캠페인이 상대적으로 낮은 기술적 정교함으로도 얼마나 막대한 수익을 창출할 수 있는지를 잘 보여줍니다.

AI는 이러한 추세를 가속화하고 있습니다. 공격자들은 이제 AI로 생성된 딥페이크, 맞춤형 피싱 메시지, 자동화된 스캠 에이전트를 활용하여 대규모로 피해자를 타겟팅합니다. Lazarus Group의 단골 수법인 가짜 개발자 채용 테스트는 이제 실제 채용 프로세스와 거의 구별할 수 없는 수준에 이르렀습니다.

이러한 시사점은 엄중합니다. 스마트 컨트랙트가 더욱 안전해짐에 따라, 공격 지점은 해당 컨트랙트를 관리, 배포 및 상호 작용하는 사람들에게로 단호하게 이동하고 있습니다.

감사의 역설

암호화폐 산업의 보안 지출은 위험한 자원 배분 오류를 드러냅니다. 수십억 달러가 스마트 컨트랙트 감사에 투입되고 있으며, 이러한 감사는 코드 품질을 분명히 향상시켰습니다. 하지만 데이터에 따르면 가장 비용이 많이 드는 공격은 더 이상 스마트 컨트랙트 버그가 아니라 키 관리의 실패입니다.

이 통계를 보십시오. DeFi 프로토콜이 감사를 통과한 후 취약점이 공격당하기까지 걸리는 시간의 중앙값은 47일입니다. 2020년에서 2025년 사이, 감사를 통과한 프로토콜에서 42억 달러 이상의 자금이 유출되었습니다. 감사가 문제는 아니었습니다. 코드는 올바르게 검증되었습니다. 문제는 키가 어떻게 저장되었는지, 서명 권한이 어떻게 분산되었는지, 클라우드 환경이 어떻게 구성되었는지, 그리고 직원이 사회 공학적 공격을 식별하도록 어떻게 교육받았는지와 같은 코드 '주변'의 모든 것이었습니다.

가장 앞서가는 보안 업체들은 이에 따라 범위를 확장했습니다. 현대적인 2026년 감사 프레임워크에는 이제 키 관리 검토, 거버넌스 구성 감사, 크로스 체인 신뢰 경계 분석, 런타임 모니터링 설정 및 침해 사고 대응 계획이 포함됩니다. 이는 불과 2년 전 이 분야를 정의했던 코드 리뷰 및 정적 분석 접근 방식에서 비약적으로 확장된 것입니다.

경계 보안에서 제로 트러스트로

암호화폐 보안은 지난 10년 동안 전통 금융이 완료한 것과 동일한 아키텍처 전환, 즉 경계 보안(perimeter defense)에서 제로 트러스트(zero trust)로의 전환을 겪고 있습니다.

경계 모델에서 보안은 엄격한 스마트 컨트랙트 감사, 정형 검증(formal verification), 버그 바운티와 같이 강력한 벽을 쌓는 데 집중합니다. 경계 내부의 모든 것은 암묵적으로 신뢰됩니다. Bybit 해킹 사례에서 보듯, 공격자가 사회 공학을 통해 경계를 우회하면 이 모델은 처참하게 실패합니다.

제로 트러스트 아키텍처는 요청의 출처에 관계없이 모든 접근 요청이 악의적일 수 있다고 가정합니다. Aave 및 Lido와 같은 주요 DeFi 프로토콜은 피싱 및 계정 탈취에 대응하기 위해 멀티 시그니처 지갑과 제로 트러스트 프레임워크를 통합하기 시작했습니다.

암호화폐 조직을 위한 실질적인 시사점은 다음과 같습니다:

  • 키 관리를 위한 MPC (Multi-party computation): 서명 권한의 단일 실패 지점 제거
  • HSM (Hardware security modules): 범용 컴퓨팅 환경에서 암호화 작업 분리
  • 지속적인 런타임 모니터링: 배포 후 감사에만 의존하기보다 실시간으로 비정상적인 거래 패턴 탐지
  • 보안 인식 문화: 엔지니어뿐만 아니라 모든 직원이 사회 공학적 시도를 식별하도록 교육
  • 침해 사고 대응 플레이북: 침해를 불가능한 것이 아니라 불가피한 것으로 간주하여 준비

1,000억 달러 이상의 DeFi TVL에 미치는 영향

DeFi 프로토콜에 1,000억 달러 이상이 예치된 상황에서, 인프라 타겟팅으로의 변화는 생존의 문제입니다. 북한의 Lazarus Group과 같은 국가 주도 공격자들은 이제 블록체인 인프라를 단순한 금융 타겟이 아닌 첩보 대상으로 취급합니다. 이전 공격에서 탈취된 소스 코드와 인프라 설계도는 향후 발생할 잠재적이고 파괴적인 공격의 밑거름이 됩니다.

업계의 대응 방식은 DeFi가 기관 자본의 유입을 지속할 수 있을지 여부를 결정할 것입니다. 기관 투자자들은 개인 사용자와 다르게 운영 리스크를 평가합니다. 완벽한 스마트 컨트랙트 코드를 가졌더라도 키 관리 관행이 취약한 프로토콜은 정교한 할당자(allocator)에게 수용 불가능한 리스크 프로필로 비춰집니다.

좋은 소식은 해결책이 존재한다는 것입니다. 런타임 모니터링, MPC 기반 서명, 제로 트러스트 아키텍처, AI 기반 위협 탐지는 모두 성숙한 기술입니다. 과제는 도입, 특히 최상위 DeFi 플랫폼만큼의 자원이 부족한 중견 프로토콜 및 중앙화된 엔티티들 사이에서의 도입입니다.

앞으로의 여정

TRM Labs의 2026년 보고서는 업계의 방어 체계보다 빠르게 진화하는 적대 세력의 모습을 보여줍니다. 코드는 더 좋아지고 있지만, 그 주변의 인프라는 보조를 맞추지 못하고 있습니다.

다음 세 가지 발전이 향후 암호화폐 보안을 형성할 것입니다:

  1. 규제 압력: EU의 MiCA 및 미국의 GENIUS 법안과 같은 규제 프레임워크가 운영 보안 표준을 의무화함에 따라, 프로토콜은 코드 품질과 더불어 인프라 강화에 투자해야 할 것입니다.

  2. AI 기반 방어: 정교한 피싱 캠페인을 가능하게 하는 동일한 AI 기능이 이상 탐지, 행동 분석 및 자동화된 사고 대응에 동력을 제공할 수 있습니다. AI 기반의 공격과 방어 사이의 군비 경쟁이 암호화폐 보안의 다음 장을 정의할 것입니다.

  3. 보험 및 리스크 시장: 암호화폐 보험이 성숙해짐에 따라 보험사는 운영 보안 관행을 보험료에 반영할 것이며, 이는 더 나은 키 관리, 접근 제어 및 사고 대응 능력을 갖추도록 하는 재정적 인센티브를 창출할 것입니다.

TRM Labs 보고서의 핵심 메시지는 명확합니다. 암호화폐의 보안 경계는 확장되었습니다. 코드 품질은 필수적이지만 충분하지 않습니다. 차세대 암호화폐 보안은 스마트 컨트랙트뿐만 아니라 클라우드 인프라에서 인간 심리에 이르기까지 이를 둘러싼 전체 운영 스택을 보호해야 합니다.

공격자들은 이미 스택 위쪽으로 이동했습니다. 이제 업계의 방어 체계가 그 뒤를 따를 때입니다.

보안이 강화된 블록체인 인프라 구축은 그 어느 때보다 중요합니다. BlockEden.xyz는 20개 이상의 체인에 걸쳐 엔터프라이즈급 RPC 및 API 서비스를 신뢰성과 모니터링 기능과 함께 제공합니다. 팀이 운영 리스크에 대한 걱정 없이 빌딩에 집중할 수 있도록 돕는 인프라 기반입니다. API 마켓플레이스 탐색을 통해 지금 시작해 보세요.

Share on Twitter