본문으로 건너뛰기

Hacken 2026년 1분기: 4억 8,200만 달러 도난 및 암호화폐의 '감사 우선' 신념이 깨진 분기

· 약 12 분
Dora Noda
Dora Noda
Software Engineer

단 한 통의 전화로 2억 8,200만 달러를 잃었습니다. 스마트 컨트랙트 취약점 공격도, 솔리디티(Solidity) 코드 한 줄의 수정도 없었습니다. 2026년 1월 10일, 가짜 IT 지원팀 직원이 하드웨어 지갑 '복구' 절차라며 암호화폐 보유자를 속였고, 대부분의 DeFi 프로토콜이 보유한 총 예치 자산(TVL)보다 더 많은 비트코인과 라이트코인을 가로챘습니다. 이 단 한 건의 사고는 Drift나 Kelp DAO의 피해 규모보다 크며, 2026년 1분기 Web3 전체 손실액의 절반 이상을 차지합니다.

Hacken의 2026년 1분기 블록체인 보안 및 컴플라이언스 보고서에 따르면, 이번 분기 동안 44건의 사고를 통해 총 4억 8,260만 달러의 자금이 도난당했습니다. 피싱과 사회 공학적 기법만으로 3억 600만 달러가 유출되었으며, 이는 분기 전체 피해액의 63.4%에 달합니다. 스마트 컨트랙트 취약점 공격은 8,620만 달러에 불과했습니다. 키 유출, 클라우드 자격 증명 노출, 멀티시그 탈취 등 액세스 제어 실패로 인해 7,190만 달러의 피해가 추가되었습니다. 수치는 명확합니다. 지난 분기 버그가 있는 코드에서 1달러가 도난당할 때마다, 공격자들은 코드 주변의 사람, 프로세스 및 자격 증명을 통해 약 3.5달러를 갈취했습니다.

지난 5년 동안 '보안 감사 완료(audited)'를 '안전함'의 동의어로 여겨온 업계에게 1분기 수치는 경종을 울리고 있습니다. 공격 지점은 이동했지만, 보안 지출은 그대로입니다.

누구도 예상치 못한 카테고리의 반전

2020~2024년 대부분의 기간 동안 암호화폐 보안의 분기별 패턴은 예측 가능했습니다. 브리지가 털리고, 대출 프로토콜에 재진입(reentrancy) 공격이 발생하면, 보안 감사 업체가 사후 분석 보고서를 발행하고, 거버넌스 투표를 통해 보상금을 결정하며, 개발자들이 재진입 방지 기능을 강화하는 식이었습니다. 스마트 컨트랙트 취약점 공격이 분기마다 손실액의 대부분을 차지했기에, 업계는 버그 바운티, 감사 대회, 정형 검증(formal verification), 배포 전 리뷰 등 모든 방어 체계를 코드 중심으로 구축해 왔습니다.

2026년 1분기는 이 양상을 완전히 뒤집었습니다. Hacken이 추적하는 세 가지 범주를 비교해 보십시오.

  • 피싱 / 사회 공학: 3억 600만 달러 — 단일 건의 2억 8,200만 달러 사고가 주도함
  • 스마트 컨트랙트 취약점 공격: 8,620만 달러 — 28건의 사고
  • 액세스 제어 / 키 유출: 7,190만 달러

이 수치를 업계의 실제 자금 집행 내역과 비교해 보면 불균형이 명확해집니다. 중간 복잡도의 DeFi 프로토콜에 대한 감사 예산은 현재 건당 6만 달러에서 12만 달러에 달하며, 팀들은 연간 개발 예산의 15~20%를 코드 리뷰 중심의 '보안 서비스(Security-as-a-Service)'에 할당하고 있습니다. 반면, Step Finance를 무너뜨린 피싱 공격 체인에 공격자들이 들인 비용은 영상 통화 한 번과 악성 코드가 심어진 '투자 제안서'가 전부였습니다. 방어 비용은 여전히 과거의 공격 분포에 맞춰져 있습니다.

Hacken은 이러한 변화를 명확하게 정의합니다. "공격자들은 온체인 코드의 취약점을 겨냥하는 대신, 사용자 행동, 자격 증명 관리, 운영 보안 공백을 포함한 오프체인 약점을 점점 더 많이 이용하고 있습니다." 코드는 더 견고해졌지만, 사람은 그렇지 못했습니다.

보안 감사를 받은 6개 프로토콜, 3,770만 달러, 그리고 '감사 신호'의 환상

보고서에서 가장 불편한 발견은 다음의 한 문장에 담겨 있습니다. 2026년 1분기에 보안 감사를 받은 6개의 프로토콜이 공격을 받았으며, 이들의 총 손실액은 3,770만 달러에 달합니다. 그중 하나인 Resolv는 18번의 개별 감사를 거쳤으며, Venus Protocol은 5개의 서로 다른 업체로부터 검토를 받았습니다.

이는 감사 횟수가 보안 결과를 보장하지 않는다는 사실을 여실히 보여줍니다. 오히려 특정 지점에서는 역상관관계를 보이기도 합니다. 감사 이력이 화려한 프로토콜일수록 더 많은 TVL을 보유하고 더 많은 가치를 이동시키며, 따라서 가장 집요한 공격자들의 표적이 되기 때문입니다. 취미로 만든 프로젝트를 피싱하는 사람은 없습니다. 관리자 키로 2억 9,000만 달러를 인출할 수 있는 프로토콜을 노릴 뿐입니다.

KuCoin, MEXC, WhiteBIT, Bybit, Centrifuge, Global Ledger, Allium, SVRN, M0, C4, Gray Wolf를 포함한 11개 거래소 및 인프라 팀과 공동으로 진행한 Hacken의 파트너 설문 조사도 동일한 패턴을 뒷받침합니다. 감사는 여전히 필요하지만, 그것만으로는 더 이상 충분하지 않습니다. 그리고 1분기에 자금이 빠져나간 실제 경로는 애초에 감사의 대상도 아니었습니다.

모든 것을 설명해 주는 세 가지 사건

1월의 2억 8,200만 달러 규모 하드웨어 지갑 스캠

1월 10일, 한 장기 암호화폐 보유자가 ZachXBT의 분석에 따르면 가짜 IT 지원 전화 도중 복구 자격 증명을 넘겨주어 2억 8,200만 달러 상당의 비트코인과 라이트코인을 잃었습니다. 거래소 해킹도, 스마트 컨트랙트 오류도, 관리자 키 유출도 아니었습니다. 단지 대화 한 번이었습니다.

이 공격이 성공할 수 있었던 이유는 하드웨어 지갑의 UX(사용자 경험) 때문이며, 이는 다른 곳에도 적용될 수 있는 문제입니다. 하드웨어 지갑의 복구 프로세스는 정상적인 경우와 악의적인 경우가 거의 동일하게 보입니다. 공격자는 렛저(Ledger) 장치의 보안 요소(secure element)를 뚫을 필요가 없었습니다. 단지 "내 지갑이 복구를 요청하고 있다"는 사용자의 심리적 장벽을 허물기만 하면 되었습니다. 그 문턱이 무너지자, 단 하나의 암호학적 요소도 파괴되지 않은 채 2억 8,200만 달러가 전송되었습니다.

Step Finance: 가짜 VC 미팅의 함정

1 월 31 일, Step Finance 경영진의 기기가 해킹당하면서 프로토콜 트레저리에서 약 4,000 만 달러가 유출되었습니다. Step Finance 의 자체 공시에 따르면, 초기 공격 벡터는 가짜 벤처 캐피털(VC) 미팅이었습니다. 이는 투자 유치 중인 창업 팀이 매달 수십 번씩 갖는 흔한 종류의 회의였습니다. "피칭 자료"를 통해 전달된 멀웨어는 공격자에게 경영진 노트북에 대한 지속적인 액세스 권한을 부여했으며, 이를 통해 트레저리 자금을 이동시키는 서명 플로우까지 침투했습니다.

경영진 기기에 대한 사회 공학적 공격 후 트레저리 운영으로의 측면 이동(lateral movement)으로 이어지는 이 패턴은 이제 2026 년 북한(DPRK) 연계 해커들의 표준 플레이북으로 간주될 만큼 반복적으로 문서화되었습니다. Bitrefill 의 3 월 1 일 공시에서도 거의 동일한 지표가 언급되었습니다. 해킹된 직원 노트북, 유출된 레거시 자격 증명, 그리고 이전 라자루스(Lazarus) 및 블루노로프(Bluenoroff) 활동과의 수법 유사성 등이 그 예입니다.

Drift: 지속성 논스보다 강력한 관리자 키

4 월 1 일 발생한 Drift 프로토콜 해킹으로 프로토콜 TVL 의 절반이 넘는 2 억 8,500 만 달러가 유출되었습니다. Chainalysis 와 Elliptic 은 모두 이를 북한 연계 해커의 소행으로 보고 있습니다. 기술적 수법은 교묘했습니다. 솔라나(Solana)의 지속성 논스(durable nonces) 기능을 사용하면 트랜잭션에 미리 서명하고 나중에 실행할 수 있습니다. 공격자는 3 월 23 일에서 30 일 사이에 자금 유출용 트랜잭션을 준비했습니다. 그런 다음 사회 공학적 기법을 통해, 불과 며칠 전 타임락(timelock)이 해제된 2/5 임계값 멀티시그의 실제 Drift 보안 위원회 멤버들로부터 서명을 받아냈습니다.

서명이 확보되자 실행은 간단했습니다. 가치가 없는 토큰(CVT)을 담보로 화이트리스트에 등록하고, 5 억 개를 예치한 뒤 2 억 8,500 만 달러 상당의 실제 자산을 인출했습니다. 여기서 악용된 "취약점"은 Drift 의 코드에 있었던 것이 아닙니다. 코드는 설계된 대로 정확히 작동했습니다. 문제는 멀티시그 서명자들이 자신이 이해하지 못하는 내용에는 절대 서명하지 않을 것이라는 가정에 있었습니다.

세 건의 사건, 세 가지 서로 다른 공격 표면, 그러나 공유되는 하나의 근본 원인은 명확합니다. "컨트랙트"와 "컨트랙트를 제어하는 인간" 사이의 방어 경계에 틈이 있었고, 보상금을 노리는 모든 공격자들은 이제 그 틈이 어디에 있는지 정확히 알고 있습니다.

보안 예산이 투입되어야 할 곳

2026 년 1 분기가 통계적 오류가 아닌 지속적인 공격 표면의 변화를 의미한다면, 보안 예산에 대한 시사점은 단순한 수정을 넘어 구조적이어야 합니다. 정직하게 나열한 체크리스트는 다음과 같습니다.

  • "권장 제어 항목"이 아닌 필수 요구 사항으로서의 피싱 방지 인증. 이는 키를 다루거나, 트랜잭션을 승인하거나, 클라우드 인프라에 액세스할 수 있는 모든 운영 계정에 FIDO2 / WebAuthn / 패스키를 적용하는 것을 의미합니다. NIST 는 이미 이를 AAL2 수준의 기준으로 간주하고 있습니다. 크립토 업계는 멀티시그 권한을 가진 누구에게나 이를 기본 요건으로 요구해야 합니다.
  • 공급업체 차원의 하드웨어 월렛 UX 재설계. 2 억 8,200 만 달러 규모의 스캠이 성공한 이유는 "정당한 지원팀에 의한 복구 절차"와 "전화 통화를 통한 공격자의 복구 절차"가 사용자에게 동일하게 느껴졌기 때문입니다. Ledger, Trezor, SafePal 및 중앙 집중식 수탁 서비스 업체들은 이제 안티 피싱 문제의 수동적인 구성 요소가 아니라 최전방 방어선이 되어야 합니다.
  • 단순 시뮬레이션이 아닌 트랜잭션 미리보기. Drift 와 같은 프로토콜은 기계가 해석 가능한 형태의 서명 내용을 거의 확실히 읽지 않은 실제 인간들로부터 서명을 받았습니다. 트랜잭션당 전체 의미론적 의도(semantic intent)를 렌더링하는 차세대 서명 도구(Rabby, Blockaid, Fordefi, Ledger Clear Signing 등)는 더 이상 사용자 편의 기능이 아닙니다. 이는 "서명 전에 문제를 발견하는 것"과 "나중에 트위터에서 사건 소식을 접하는 것"의 차이를 만듭니다.
  • 코드 감사와 병행하는 운영 보안 감사. SOC 2 Type II, SIM 스왑 방지, 사고 대응 시뮬레이션, 피싱 방지 MFA 강제 적용, 서명 플로우를 시작할 수 있는 모든 기기에 대한 디바이스 수준의 EDR 도입 등이 필요합니다. 제도권 수탁 업계는 수년 동안 이를 기본으로 다뤄왔습니다. 반면, 이미 18 번의 코드 감사를 받은 프로토콜을 운영하는 크립토 네이티브 팀들조차 이를 선택 사항으로 여기는 경우가 많습니다.
  • 전용 보안 교육 예산. 대부분의 프로토콜 트레저리는 다음 외부 감사에 수억 원을 지출하면서도 경영진을 위한 피싱 시뮬레이션에는 단 한 푼도 쓰지 않습니다. 2026 년 1 분기는 이러한 비율이 더 이상 정당화될 수 없음을 보여준 시기입니다.

이 중 어느 것도 코드 감사를 대체할 수는 없습니다. 스마트 컨트랙트 취약점 공격은 여전히 1 분기에 8,620 만 달러의 피해를 입혔으며, 공격 유형의 변화 속에서도 그 수치는 전년 대비 213% 증가했습니다. 하지만 업계는 이제 두 개의 전선에서 전쟁을 치르고 있으며, 여전히 한쪽 전선에만 예산을 책정하고 있습니다.

규제 준수(Compliance)라는 레이어

공격 표면의 변화는 규제 기관들이 크립토 기업에 대한 운영 요구 사항을 강화하는 시점과 맞물려 나타나고 있습니다. MiCA 와 DORA 의 본격적인 시행이 시작되었습니다. 미국에서는 결제용 스테이블코인에 대한 첫 연방 프레임워크인 GENIUS 법안이 제정되었습니다. 두바이는 연방 차원의 크립토 감독 체계를 재편했으며, 싱가포르는 라이선스 보유 사업자를 대상으로 바젤 기준에 맞춘 자본 표준을 집행하기 시작했습니다.

이러한 규제 체제는 기능적으로 운영 보안 규제와 다름없습니다. 특히 DORA 는 금융 기관에 대해 회복력 테스트, 사고 보고 및 제 3 자 리스크 제어를 의무화하고 있습니다. 이는 1 분기에 발생한 3 억 7,800 만 달러의 손실(피싱 3 억 600 만 달러 + 액세스 제어 7,190 만 달러)을 초래한 실패 카테고리와 거의 정확히 일치합니다. 규제 준수 의무와 손실 방지 의무는 이제 동일한 답으로 수렴하고 있습니다. 즉, 인간과 인프라가 코드만큼이나 강력하게 요새화되어 있음을 증명해야 합니다.

거래소, 수탁 기관 및 대형 DeFi 프로토콜에 있어 "감사 완료"는 더 이상 유럽이나 미국의 규제 기관 앞에서 내세울 수 있는 방어 논리가 아닙니다. 이를 대체할 새로운 기준은 코드 감사 + 운영 제어 + 안티 피싱 아키텍처 + 사용자 측 인증 표준 + 투명한 사고 대응을 포괄하는 전체 스택 보안 증명(full-stack security attestation)에 가까울 것입니다.

빌더에게 주는 시사점

2026년 퍼블릭 체인에서 프로젝트를 구축하는 팀에게 있어, 1분기 데이터는 우선순위 스택을 변화시킵니다:

  1. 관리자 키가 공격 대상이라고 가정하십시오. 컨트랙트가 아닙니다. 정교한 공격자가 부정한 수단을 통해 합법적인 사람으로부터 합법적인 서명을 얻으려 할 것이라는 전제하에 멀티시그 워크플로우, 타임락, 서명자 교육을 설계하십시오.
  2. 클라우드 인프라를 보안 범위 내에 포함하십시오. Resolv 의 AWS KMS 침해와 Bitrefill 의 노트북 해킹은 특이 케이스가 아니었습니다. 서명 키, 배포 파이프라인 또는 자금 관리(treasury) 권한 승인 플로우에 접근할 수 있는 모든 자격 증명은 하드웨어 기반 자격 증명을 이용한 피싱 방지 인증의 관리를 받아야 합니다.
  3. 휴먼 레이어 방어 항목에 예산을 배정하십시오. 피싱 시뮬레이션, 사고 대응 훈련, 임원 기기용 EDR, 공개적으로 접근 권한이 알려진 인원을 위한 전용 SIM 스왑 방지 등이 이에 해당합니다. 이러한 항목들은 2024년에는 선택 사항이었지만, 2026년 1분기 이후의 세계에서는 자금을 보유한 프로토콜을 운영하기 위한 실질적인 비용입니다.
  4. 사용자가 직접적인 타겟이 될 것임을 예상하십시오. $ 282M 규모의 스캠은 이제 사용자 대상 피싱이 프로토콜 규모의 손실로 확대될 수 있음을 증명합니다. 지갑 UX, 트랜잭션 명확성, 복구 플로우 강화, 제품 내 교육은 성장 제품이 아닌 보안 제품의 일부입니다.

이러한 위협 모델에 적응하는 프로토콜은 감사(audit) PDF 한 장을 가진 2023년 방식의 DeFi 팀보다는, CISO, 컴플라이언스 일정, 이사회 수준의 리스크 위원회를 갖춘 2026년 방식의 핀테크 기업에 더 가까운 모습일 것입니다. 이는 비용이 많이 드는 것처럼 들리며, 실제로 그렇습니다. 하지만 전화 한 통으로 $ 282M 를 잃는 기회비용에 비하면 저렴합니다.

핵심 요약

Hacken 의 2026년 1분기 보고서는 단순히 "보안이 악화되고 있다"는 이야기가 아닙니다. 스마트 컨트랙트의 품질은 진정으로 향상되고 있습니다. 전년 대비 익스플로잇 피해액이 213% 급증한 것은 프로토콜 수준의 방어가 이제 실질적인 효과를 발휘하고 있다는 사실을 가리고 있습니다. 핵심은 공격자가 합리적인 행위자이며, 합리적인 공격자는 방어가 가장 취약하면서도 수익성 있는 지점으로 이동한다는 점입니다. 크립토 역사의 대부분의 기간 동안 그 지점은 코드였습니다. 하지만 2026년 1분기 현재, 그 지점은 사람, 프로세스, 그리고 권한이 부여된 인프라입니다.

업계는 계속해서 보안 예산의 80% 를 코드 결함으로 인한 18% 의 손실을 막는 데 쏟아부을 수도 있고, 아니면 지난 1월의 282M스캠이실제로보여준세상을위해신속하게재조정할수도있습니다.이번분기의가장중요한숫자는282M 스캠이 실제로 보여준 세상을 위해 신속하게 재조정할 수도 있습니다. 이번 분기의 가장 중요한 숫자는 482M 라는 총 손실액이 아닙니다. 바로 피싱 306M대익스플로잇306M 대 익스플로잇 86.2M 라는 비율입니다. 이 숫자는 2026년의 방어 예산이 어디로 향해야 하는지를 보여주는 청사진입니다.

BlockEden.xyz 는 15개 이상의 체인에서 기업용 블록체인 API 인프라를 운영하며, Hacken 1분기 보고서에서 새로운 전선으로 지목한 키 관리, 서명자 워크플로우, 클라우드 자격 증명 위생 관리 등 운영 전반에 걸쳐 SOC 2 및 ISO 27001 제어 체계를 적용하고 있습니다. API 마켓플레이스 둘러보기를 통해 2026년 Web3 가 직면한 실제 위협 모델에 맞춰 설계된 인프라 위에서 서비스를 구축하십시오.

출처

Share on Twitter