$306M 피싱 세금: 크립토의 가장 큰 취약점이 더 이상 코드가 아닌 이유

2026년 1월, 한 사람이 전화를 받았습니다. 일상적인 지원 문의처럼 들리는 질문에 답한 결과, 그는 $ 282,000,000 상당의 비트코인(Bitcoin)과 라이트코인(Litecoin)을 잃었습니다. 스마트 컨트랙트가 악용된 것도 아니었습니다. 개인 키가 해킹된 것도, 오라클이 조작된 것도 아니었습니다. 공격자는 그저 시드 구문을 물어보았고, 피해자는 이를 직접 타이핑해 넣었을 뿐입니다.

현재 암호화폐 역사상 최대 규모의 사회 공학적 강도 사건으로 기록된 이 단일 사고는, 웹3(Web3) 보안 기업인 해큰(Hacken)이 추적한 2026년 1분기 전체 손실액의 절반 이상을 차지합니다. 해큰의 분기별 보고서는 업계에서 가장 주목받는 손실 장부가 되었습니다. 해큰의 2026년 1분기 수치는 냉혹합니다. 44건의 사고를 통해 총 $482,600,000가 도난당했으며, 이 중 피싱과 사회 공학적 기법이$ 306,000,000, 즉 전체 피해의 63 %를 차지했습니다. 2022년 ‘디파이 서머(DeFi Summer)’의 해킹 시대를 정의했던 카테고리인 스마트 컨트랙트 익스플로잇은 $ 86,200,000에 그쳤습니다.

이 수치들은 업계가 뒤늦게 흡수하고 있는 구조적 변화를 설명합니다. 공격자들은 더 이상 솔리디티(Solidity) 개발자보다 뛰어난 기술을 발휘하려 경쟁하지 않습니다. 대신 인간을 속이는 데 집중하고 있습니다. 우리가 첫 번째 유형의 공격을 방어하기 위해 구축한 인프라 — 감사, 버그 바운티, 정형 검증 — 는 두 번째 유형의 공격을 막는 데 거의 아무런 도움이 되지 않습니다.

거대 해킹 시대의 파편화

수년 동안 크립토 보안은 일련의 처참한 코드 결함처럼 보였습니다. 로닌 브리지(Ronin Bridge)는 2022년에 $625,000,000를 잃었습니다. 폴리 네트워크(Poly Network)는 2021년에$ 611,000,000를 잃었습니다. 웜홀(Wormhole)은 $ 325,000,000를 잃었습니다. 서사는 단순했습니다. 브리지나 대출 프로토콜에서 결함을 찾아 자금을 탈취하고, 믹서(Mixer)를 통해 자취를 감추는 것이었습니다.

그러한 세계는 눈에 띄게 줄어들고 있습니다. 해큰의 주요 경쟁 데이터 세트인 셜록(Sherlock)의 2026년 1분기 웹3 보안 보고서에 따르면, 디파이(DeFi) 관련 익스플로잇은 2025년 1분기 대비 전년 대비 89 % 감소했습니다. 정형 검증이 확산되고 있습니다. 버그 바운티 규모는 커졌습니다. 감사 법인들은 속도보다는 깊이로 경쟁하고 있습니다. 코드는 진정으로 더 안전해지고 있습니다.

그렇다면 왜 2026년 1분기에도 여전히 5억 달러에 가까운 손실이 발생했을까요?

공격 표면이 이동했기 때문입니다. 해큰의 보고서는 총 $86,200,000 규모의 스마트 컨트랙트 사고 28건을 기록했는데, 이는 2021년 이후 어느 분기보다 적고 규모도 작습니다. 그러나 액세스 제어 실패(탈취된 개인 키 및 클라우드 인프라)가$ 71,900,000를 추가했고, 피싱 카테고리 하나만으로도 이 두 가지를 합친 것보다 훨씬 컸습니다. 거대 해킹 시대는 끝나지 않았습니다. 다만 수백 개의 더 작고 인간을 겨냥한 사고로 파편화되어, 결과적으로 브리지 익스플로잇보다 더 많은 자본을 유출시키고 있을 뿐입니다.

1월에 발생한 하드웨어 월렛 스캠은 가장 극단적인 데이터 포인트이지만, 예외적인 사건은 아닙니다. 그것은 일종의 신호입니다.

2억 8,200만 달러짜리 통화의 해부

온체인 수사관 ZachXBT와 보안 업체 제로쉐도우(ZeroShadow)가 재구성한 1월 10일의 사건은 사회 공학적 기법이 얼마나 진화했는지를 정확히 보여주기 때문에 상세히 살펴볼 가치가 있습니다.

공격자는 트레저(Trezor)의 "밸류 월렛(Value Wallet)" 지원 담당자를 사칭했습니다. 하드웨어 월렛에 약 205만 라이트코인($153,000,000)과 1,459 비트코인($ 139,000,000)을 보관하고 있던 장기 보유자였던 피해자는, 합법적인 고객 지원 전화처럼 보이는 상황에서 복구 자격 증명을 공개하도록 유도되었습니다. 자산은 몇 시간 만에 이동되었습니다. 이전의 사회 공학적 기법 기록은 2024년 8월에 세워진 $243,000,000였습니다. 새로운 기록은 단 한 번의 대화로 이를$ 39,000,000나 경신했습니다.

하드웨어 월렛은 이러한 공격을 불가능하게 하도록 설계되었습니다. 트레저나 렛저(Ledger) 장치는 시드 구문을 연결된 컴퓨터에 절대 노출하지 않습니다. 개인 키는 보안 요소(Secure Element)를 절대 떠나지 않습니다. 전체 위협 모델은 사용자가 사회 공학적 기법에 속아 피싱 양식에 복구 구문을 직접 입력하지 않을 것이라고 가정합니다.

그 가정은 무너졌습니다. 그리고 어떤 감사, 버그 바운티, 정형 검증으로도 잡아낼 수 없는 방식으로 무너졌습니다. 하드웨어는 완벽하게 작동했습니다. 사람이 그러지 못했을 뿐입니다.

이것이 2026년 1분기의 불편한 진실입니다. 크립토의 암호학적 원시 함수(Primitives)가 좋아질수록 그 뒤에 숨겨진 가치는 더 집중되며, 사회 공학적 공격의 수익성은 더욱 높아집니다. 이제 단 한 번의 성공적인 피싱 전화가 대부분의 프로토콜 익스플로잇보다 더 큰 가치를 지닙니다. 단위 경제성은 피싱 공격자에게 유리하게 작용하고 있습니다.

18번의 감사가 충분하지 않을 때

1월의 사건이 피싱에 관한 이야기라면, 감사 피로도에 관한 이야기는 모든 것을 올바르게 수행했음에도 불구하고 해킹당한 프로토콜들에서 찾을 수 있습니다.

해큰에 따르면 2026년 1분기 동안 감사를 받은 6개의 프로젝트가 익스플로잇을 당했습니다. 그중 하나인 리졸브 랩스(Resolv Labs)는 18번의 개별 감사를 거쳤지만, 공격자가 AWS 키 관리 서비스(KMS)의 취약점을 악용하여 약 8,000만 개의 담보 없는 USR 스테이블코인 토큰을 발행하고 약 $ 25,000,000를 인출하는 것을 막지 못했습니다. 이 침해는 리졸브의 솔리디티 코드를 겨냥한 것이 아니었습니다. 리졸브의 엔지니어들이 코드를 배포하기 위해 사용한 클라우드 자격 증명을 겨냥한 것이었습니다.

또 다른 감사 프로젝트인 비너스 프로토콜(Venus Protocol)은 지난 3월 "도네이션 공격(Donation Attack)"으로 $ 2,150,000를 잃었습니다. 해당 취약점 유형은 자체 코드포레나(Code4rena) 감사에서 명시적으로 지적되었음에도 불구하고 발생했습니다. 당시 발견된 사항은 무시되었습니다. 수년 동안 5개의 개별 감사 법인이 코드를 검토했습니다. 그중 누구도 이 문제의 해결을 강제하지 않았으며, 감사란 조언에 불과하기 때문에 강제할 수도 없었습니다. 도네이션 공격이 발생했을 때 그 결과는 예측 가능했으며 사후 분석은 고통스러웠습니다.

이제 패턴은 분명해졌습니다. 절대적인 관점에서 볼 때, TVL(총 예치 자산)이 높은 감사된 프로토콜이 TVL이 낮은 감사되지 않은 프로토콜보다 더 안전한 것은 아닙니다. 단지 더 매력적일 뿐입니다. 공격자들은 보상에 맞춰 노력을 조정합니다. TVL이 $500,000,000이고 18번의 감사를 받은 프로토콜은$ 5,000,000에 감사가 없는 프로토콜보다 공략하기 어렵지만, 보상은 100배 더 크며, 무시된 감사 결과, 잘못 설정된 AWS, 링크를 클릭하는 직원과 같은 동일한 인간적 취약점은 양쪽 모두에 존재합니다. 감사는 바닥을 높여줄 뿐, 천장을 높여주지는 못합니다.

이것이 빌더들이 2026년 1분기에서 가장 우려해야 할 부분입니다. 업계의 보안 지출은 2022년 이후 약 10배 증가했지만, 손실 곡선은 의미 있게 하향 조정되지 않았습니다. 돈은 코드를 감사하는 데 쓰였습니다. 하지만 손실은 사람, 클라우드, 그리고 키에서 발생했습니다.

인프라 계층이 새로운 최전선이 되다

Sherlock의 2026년 1분기 보고서는 이러한 변화를 "공격의 중심이 스마트 컨트랙트 계층에서 인프라 계층으로 이동하고 있다"라고 정확히 짚어냈습니다.

이번 분기에 발생한 세 가지 사건은 이러한 새로운 양상을 잘 보여줍니다.

• Resolv Labs (2026년 3월) : AWS KMS 탈취 사건입니다. 공격자들은 스마트 컨트랙트를 전혀 건드리지 않았습니다. 대신 배포 서명에 사용되는 키를 탈취하여 아무런 근거 없이 토큰을 생성(mint)했습니다.
• Drift Protocol (2026년 4월 1일) : 북한과 연계된 작전으로 솔라나(Solana) 최대의 퍼페추얼 DEX에서 2억 8,600만 달러가 유출되었습니다. 공격자들은 미리 서명된 트랜잭션을 위한 편의 기능인 솔라나의 "지속성 논스(durable nonces)" 기능을 악용했으며, Drift의 보안 위원회(Security Council)를 사회공학적 기법으로 속여 결국 관리 권한을 넘겨주는 트랜잭션에 서명하게 만들었습니다. 이 역시 스마트 컨트랙트의 결함은 없었습니다. 익스플로잇은 인간과 기능이 맞물리는 지점에서 발생했습니다.
• 분기 전체에 걸쳐 4,000만 달러 이상 추출 : Hacken에 따르면 가짜 벤처 캐피털(VC) 제안, 소프트웨어 업데이트로 위장한 악성 코드, 직원의 노트북 해킹 등을 통해 발생했습니다.

이러한 공격들의 공통점은 코드만 읽어서는 결코 잡아낼 수 없었다는 점입니다. 공격자들은 코드가 인프라와 만나는 지점인 클라우드 자격 증명, CI / CD 파이프라인, 개발자 노트북, Slack 계정, "지원 상담원"과의 전화 통화, 그리고 서명 당시에는 일상적으로 느껴졌지만 모이고 나면 치명적이었던 사전 서명된 트랜잭션 등을 공략했습니다.

크립토 업계의 방어 태세는 아직 이러한 현실에 맞춰 재편되지 않았습니다. 업계는 여전히 IT 보안 엔지니어보다 Solidity 오디터(Auditor)를 더 많이 고용합니다. 대부분의 프로토콜 DAO는 운영 보안 교육보다 코드 오디트에 더 많은 비용을 지출합니다. 대부분의 보안 프레임워크에서 피싱 우선 위협 모델은 거의 존재하지 않습니다.

규제가 마침내 뒤따라오다 — 다소 어색하게

2026년 1분기는 단지 손실이 발생한 분기가 아니라, 규제가 본격화된 분기이기도 했습니다.

유럽 연합(EU)의 MiCA 프레임워크는 2026년 7월 1일 마감일을 앞두고 단계적 시행에서 전면 집행 단계로 넘어가고 있습니다. 각국 규제 당국과 ESMA는 감독 검토, 불시 점검 및 조사를 진행하고 있습니다. 디지털 운영 회복력 법안(DORA)은 2025년 1월 17일부터 금융 기관에 전면 적용되었으며, ICT 리스크, 사고 보고 및 제3자 의무 사항이 이제 EU 전역에서 시행 중입니다. 미국 최초의 연방 스테이블코인 법안인 GENIUS Act가 발효되어 스테이블코인 발행사는 은행비밀법(BSA) 의무와 제재 준수 프로그램을 준수해야 합니다. 두바이는 연방 크립토 감독 체계를 개편했고, 싱가포르는 바젤 자본 기준을 시행하기 시작했습니다. 한국에서는 대형 거래소인 빗썸(Bithumb)이 자금세탁방지(AML) 및 고객확인(KYC) 위반으로 6개월 영업 일부 정지 사전 통지를 받았는데, 이는 해당 유형의 첫 번째 주요 집행 사례입니다.

서류상으로 이 모든 조치는 크립토를 더 안전하게 만드는 것을 목표로 합니다. 하지만 실제로는 그 어떤 규제도 3억 600만 달러 규모의 피싱 문제를 직접적으로 해결하지 못합니다. MiCA의 준수 요건은 공시, 예비비 및 거버넌스에 관한 것입니다. DORA는 ICT 회복력과 제3자 리스크에 관한 것이며, GENIUS Act는 스테이블코인 AML에 관한 것입니다. 1분기에 실제로 사용자 지갑을 비웠던 요인, 즉 하드웨어 지갑 제조사의 지원팀을 사칭한 전화 통화는 이러한 모든 프레임워크의 주변부에 있지만, 그 어느 규제의 대상도 아닙니다.

이러한 격차는 기묘한 비대칭성을 만들어냅니다. 스테이블코인 발행사가 필수 공시를 실수로 누락하면 이제 여러 관할권에서 벌금을 물게 될 수 있습니다. 반면, 적절한 피싱 방지 기능 없이 출시된 지갑 앱은 규제 측면에서 거의 아무런 제재도 받지 않습니다. 준수해야 할 영역은 그 어느 때보다 넓어졌지만, 실제 손실이 발생하는 방향으로는 아직 확장되지 않았습니다.

앞으로는 변화가 예상됩니다. AMLA 및 FATF 워킹 그룹에서 이미 논의 중인 다음 단계는 "컴플라이언스에 피싱 방지 UX를 포함해야 한다"는 의무입니다. 즉, 소비자를 직접 대면하는 지갑, 거래소, 수탁 서비스 제공업체가 단순히 공시와 예비비를 보여주는 것을 넘어 사회공학적 기법에 대한 적극적인 방어 능력을 입증해야 한다는 요건입니다. 만약 이것이 2027년에 도입된다면, 2026년 1분기의 수많은 피해자들에게는 너무 늦은 일이 될 것입니다.

피싱 대응 중심의 보안 스택이란 무엇인가

Hacken의 수치가 시사하는 방어 체계의 재편은 상당한 의미가 있습니다. 프로토콜이 오디트를 더 많이 추가하거나, 거래소가 예약 증명(Proof-of-Reserves)을 더 많이 게시하거나, 지갑이 더 강력한 암호화 원천 기술을 탑재하는 것만으로는 부족합니다. 보안 스택은 사용자가 언젠가는 설득력 있는 공격자의 표적이 될 것이며, 첫 번째 방어선은 코드가 아니라 디자인이어야 한다는 점을 전제해야 합니다.

몇 가지 구성 요소들이 등장하고 있습니다.

• 서명 단계에서의 트랜잭션 미리보기 : MetaMask의 2026년형 "트랜잭션 쉴드(Transaction Shield)"는 서명 전에 트랜잭션을 시뮬레이션하고 악성 스마트 컨트랙트나 자산 유출 스크립트를 식별합니다. Ledger Flex의 E-ink 터치스크린은 보안이 확보된 오프라인 화면에 트랜잭션의 모든 세부 사항을 표시함으로써 "블라인드 서명(blind signing)" 문제를 해결합니다. 이러한 기능은 화려하지는 않지만, 전쟁터를 순수 암호학에서 사용자의 명확한 이해 영역으로 옮겨 놓습니다. 바로 이곳이 현재 실제 전투가 벌어지는 지점입니다.

• 고가치 흐름에 대한 하드웨어 인증 : 임계값을 초과하는 금액, 새로운 거래 상대방, 예상치 못한 데이터가 포함된 컨트랙트 호출 등 비정상적인 트랜잭션에 대해 물리적 확인을 요구하는 것은 저렴하면서도 효과적입니다. 대부분의 하드웨어 지갑이 이를 지원하지만, 대부분의 사용자는 이를 활성화하지 않습니다.

• 프로토콜 수준의 지출로서의 운영 보안 교육 : 코드가 수십 번 검토되었음에도 불구하고 6개의 오디트 완료 프로젝트가 총 6,000만 달러 이상의 손실을 입었다면, 다음 보안 예산은 19번째 오디트가 아니라 다른 곳에 쓰여야 합니다. 그것은 바로 피싱 대응 교육, 키 교체 훈련, 그리고 재고를 공동 관리하는 멀티시그(Multisig) 서명자들을 대상으로 하는 레드팀 시뮬레이션입니다.

• 선택적 공개 신원 계층 : AI 에이전트가 자율적으로 거래를 실행하기 시작하면서(이는 별개지만 연관된 위협 영역입니다), 인프라 제공업체는 기존의 KYC와 더불어 암호학적 에이전트 신원 확인(KYA, Know Your Agent)이 점점 더 필요해질 것입니다. "이 에이전트가 이 사람을 대신해 행동할 권한이 있음"을 검증하는 동일한 원천 기술은 공격자가 지원팀, 위원회 구성원 또는 프로토콜 관리자를 사칭하는 것을 더 어렵게 만듭니다.

• 피싱 대응 중심 보안 인증 : Hacken 등이 제안한 논리적인 종착점은 새로운 종류의 보안 인증(Security Seal)입니다. 이는 단순히 Solidity 익스플로잇에 대한 저항력뿐만 아니라, 지갑이나 거래소가 사회공학적 기법에 얼마나 잘 대응하는지를 평가합니다. 이러한 표준이 존재하기 전까지 시장은 피싱에 강한 제품과 그저 안전해 보이기만 하는 제품을 구분할 수 없습니다.

이 중 어느 것도 오디트를 대체하지는 않습니다. 코드는 여전히 정확해야 합니다. 하지만 전선은 이동했으며, 보안 산업의 관심 또한 그에 맞춰 이동해야 합니다.

2026년에 빌더들이 자문해야 할 질문

Hacken의 2026년 1분기 수치가 시사하는 불편한 진실은 업계의 보안 모델이 구조적으로 잘못 책정되어 있다는 점입니다. 손실의 63%는 코드 리뷰로는 방지할 수 없는 사람을 대상으로 한 공격에서 발생하지만, 업계 보안 예산의 압도적 다수는 여전히 코드 리뷰에 투입되고 있습니다.

2026년을 올바르게 대처한 것으로 기억될 빌더들은 가장 깔끔한 Solidity 코드를 배포하는 이들이 아닙니다. 그들은 블라인드 서명(blind signing)을 줄이고, 공격자의 존재를 가정한 UX를 설계하며, 재무 부서가 감사를 중요하게 여기는 것만큼 직원의 운영 보안에 진지하게 투자하고, 가치 있는 시스템이라면 결국 설득력 있는 가짜 전화 한 통의 타겟이 될 것임을 전제하여 공격자가 사용자를 통해 가치를 탈취하는 것을 더 어렵게 만드는 이들입니다.

지난 1월의 2억 8,200만 달러 규모의 가짜 전화 사건은 업계가 받은 가장 비싼 개념 증명(PoC)이었습니다. 2026년 1분기는 그 교훈을 마침내 무시할 수 없게 된 시기였을 뿐입니다.

---

BlockEden.xyz는 27개 이상의 블록체인에서 엔터프라이즈급 RPC 및 인덱싱 인프라를 운영하며, 피싱 우선 위협 모델 환경에서 API 키, 서명 인프라 및 고객 데이터를 안전하게 보호하는 운영 보안 및 액세스 제어 기능을 제공합니다. API 마켓플레이스 둘러보기를 통해 2026년의 실질적인 위협에 대비해 설계된 인프라 위에서 개발을 시작해 보세요.

출처

• Hacken — 2026년 1분기 블록체인 보안 및 규제 준수 보고서
• Yahoo Finance — Hacken의 2026년 1분기 보고서, Web3 보안의 취약점 지적
• Technext24 — 2026년 1분기, 44건의 공격으로 4억 8,260만 달러 상당의 암호화폐 도난
• Sherlock — Sherlock Web3 보안 보고서 2026년 1분기
• CoinDesk — 사회 공학적 공격으로 한 피해자로부터 2억 8,200만 달러의 암호화폐 탈취
• Brave New Coin — 암호화폐 사용자, 사회 공학적 사기로 2억 8,200만 달러 규모의 비트코인 및 라이트코인 손실
• Halborn — 해설: Venus 프로토콜 해킹 (2026년 3월)
• FinanceFeeds — Resolv 익스플로잇을 포함하여 3월 암호화폐 취약점 공격 손실액 5,200만 달러 기록
• Elliptic — Drift 프로토콜, 북한 배후 추정 공격으로 2억 8,600만 달러 피해
• Chainalysis — Drift 프로토콜 해킹: 권한 있는 액세스가 어떻게 2억 8,500만 달러의 손실을 초래했는가
• Global Relay — 가상자산 서비스 제공자를 위한 MiCA 규제 준수 가이드
• Federal Register — 허가된 결제용 스테이블코인 발행자의 자금세탁방지(AML) 및 제재 준수 요건
• Ledger — 2026년 암호화폐 지갑 보안 체크리스트