본문으로 건너뛰기

스마트 컨트랙트는 더 안전해졌지만, 크립토 상황은 악화되었습니다: 2026년 1분기 인프라 공격 시대 내부 살펴보기

· 약 11 분
Dora Noda
Dora Noda
Software Engineer

2026년 1분기, DeFi 스마트 컨트랙트 취약점 공격은 전년 대비 89% 급감했습니다. 하지만 암호화폐 시장은 여전히 약 5억 달러의 손실을 입었습니다. 모순처럼 들릴 수 있지만, 이는 The DAO 이후 Web3 보안에서 가장 중요한 구조적 변화입니다. 지난 10년 동안 암호화폐 헤드라인을 장식했던 버그들은 해결되고 있습니다. 공격자들은 단지 상위 계층으로 이동했을 뿐입니다.

Sherlock의 2026년 1분기 Web3 보안 보고서는 이 수치를 극명하게 보여줍니다. DeFi 전용 취약점 공격은 2025년 1분기 대비 약 89% 감소했으며, 이는 감사(audit), 형식 검증(formal verification), 그리고 실전에서 검증된 코드가 제 역할을 하고 있다는 가장 확실한 증거입니다. Hacken의 통계에 따르면 같은 분기 동안 Web3 전체 손실액은 4억 8,260만 달러에 달하며, 피싱과 사회 공학적 기법(social engineering)만으로 단 44건의 사고를 통해 3억 600만 달러의 피해가 발생했습니다. 무게 중심이 이동했지만, 업계의 방어 전략 대부분은 여전히 엉뚱한 방향을 향하고 있습니다.

감사 계층은 승리하고 있고, 운영 계층은 패배하고 있다

지난 10년 동안 암호화폐 보안 담론은 Solidity에 집중되었습니다. 재진입성(Reentrancy), 정수 오버플로(Integer overflow), 오라클 조작, 플래시 론(Flash-loan)으로 인한 상태 오염 등이 주된 주제였습니다. CertiK, Hacken, Trail of Bits, Sherlock, Spearbit, Cantina와 같은 전체 산업이 공격자가 발견하기 전에 배포된 컨트랙트의 버그를 찾는 학문을 중심으로 성장했습니다. 이제 형식 검증 엔진은 수학적으로 도달 가능한 모든 상태를 점검합니다. Mythril과 같은 심볼릭 실행기(Symbolic executors)와 Diligence Harvey와 같은 퍼저(fuzzers)는 수백만 개의 트랜잭션 시퀀스를 시뮬레이션합니다. AI 지원 리뷰어인 QuillShield는 알려진 취약점 데이터와 대조하여 분석합니다.

성과가 있었습니다. 2026년 1분기의 스마트 컨트랙트 계층 손실 — 코드 자체가 잘못 작동하여 발생하는 피해 — 은 불과 12개월 전과 비교해도 극히 일부에 불과합니다.

하지만 이 이야기에는 불편한 진실이 숨어 있습니다. 2025년 한 해 동안 접근 제어 실패와 운영 보안 붕괴로 인한 손실은 약 21억 2,000만 달러로, 전체 Web3 손실액인 39억 5,000만 달러의 약 54%를 차지했습니다. 반면 스마트 컨트랙트 로직 결함으로 인한 손실은 약 5억 1,200만 달러였습니다. 사고 건수 기준으로 볼 때, 개인 키 유출, 클라우드 키 관리 실패, 브릿지 검증자 탈취와 같은 인프라 공격은 이미 2025년에 지배적인 범주로 자리 잡았습니다. 2026년 1분기는 이러한 불균형이 새로운 표준(normal)으로 굳어진 시점일 뿐입니다.

세 가지 사건이 이 모든 상황을 설명해 줍니다.

사례 1: 2억 8,200만 달러 규모의 하드웨어 월렛 전화 한 통

2026년 1월 10일, 한 암호화폐 보유자가 Trezor 고객 지원팀을 사칭한 공격자들에게 2억 8,200만 달러 이상의 비트코인(BTC)과 라이트코인(LTC)을 탈취당했습니다. 수법은 잔인할 정도로 간단했습니다. 공격자들은 합법적인 Trezor 지원 채널로 보이는 곳을 통해 피해자에게 연락하여 "보안 확인" 절차를 안내했고, 복구 시드 구문을 공개하도록 설득했습니다. 그 후 지갑은 단 몇 분 만에 1,459 BTC와 약 205만 LTC를 모두 털어갔습니다.

ZachXBT의 온체인 분석에 따르면 세탁 경로가 추적되었습니다. 공격자는 훔친 비트코인을 Thorchain의 비허가형 크로스체인 유동성을 통해 ETH, XRP로 전환한 뒤 다시 라이트코인으로 바꿨으며, 이후 일련의 즉시 스왑 서비스를 통해 대량의 자금을 Monero로 브릿징했습니다. ZeroShadow의 조사관들은 자금이 프라이버시 자산으로 넘어가기 전 실시간으로 플래그를 지정하여 약 70만 달러라는 아주 적은 일부를 회수했습니다. 나머지 99.7%는 사라졌습니다.

여기서 무엇이 공격받지 않았는지 주목하십시오. 스마트 컨트랙트는 공격받지 않았습니다. 프로토콜 감사가 실패한 것도 아닙니다. Trezor의 하드웨어는 설계된 대로 정확히 작동했습니다. 취약점은 혼란에 빠진 인간과 설득력 있는 사칭범 사이의 간극에 존재했으며, 전 세계 그 어떤 감사 회사도 이를 해결할 수 있는 구조를 갖추고 있지 않습니다.

사례 2: 클라우드 키 하나로 17분 만에 발행된 2,500만 달러

Trezor 사건이 인간의 공격 표면을 드러냈다면, 2026년 3월 22일 Resolv Labs 해킹 사건은 인프라의 공격 표면을 드러냈습니다. Resolv는 델타 중립 합성 스테이블코인인 USR을 발행합니다. 스왑 메커니즘을 지원하기 위해 프로토콜은 권한이 있는 서명 키를 AWS Key Management Service (KMS) 내부에 보관했습니다. 스마트 컨트랙트는 해당 키를 신뢰했습니다. 그 키로 서명된 모든 것은 정의상 승인된 것이었습니다.

공격자는 Resolv의 AWS KMS 환경을 침해했습니다. Chainalysis와 Halborn의 사후 분석에 따르면 이는 컨트랙트 취약점이 아닌 클라우드 측 자격 증명 노출로 인한 것이었습니다. 공격자는 SERVICE_ROLE 키를 사용하여 출력 금액이 부풀려진 completeSwap을 호출했습니다. 약 10만 달러에서 20만 달러 정도를 예치한 후, 그들은 약 8,000만 개의 USR 토큰을 민팅했습니다. 순수 탈취액은 약 2,500만 달러였지만, 실제 피해는 훨씬 더 컸습니다.

USR은 1.00 달러에서 약 0.20 달러로 80% 폭락하며 페깅이 깨졌고, 이후 몇 시간 동안 약 0.56 달러까지 회복되었습니다. 그리고 2차 연쇄 실패 모드가 작동했습니다. PeckShield 분석가들은 다음에 일어난 일을 설명하기 위해 '그림자 전염 (shadow contagion)'이라는 용어를 만들었습니다. USR은 Morpho Blue, Euler, Fluid 전반에서 담보 및 수익 창출 자산으로 통합되어 있었습니다. USR 가격이 폭락함에 따라 이를 담보로 한 포지션들이 청산되었고, 대출된 USR은 회수 불가능해졌으며, 모든 공식적인 기준에 따라 올바르게 설계되었던 세 개의 프로토콜 전체에 부실 채권이 파급되었습니다.

Resolv 컨트랙트는 작성된 대로 정확하게 작동했습니다. 감사 보고서가 틀린 것이 아니었습니다. 침해는 감사가 볼 수 있는 영역보다 한 단계 아래 계층에서 발생했습니다.

사례 3: 2 억 8,600 만 달러를 노린 6 개월간의 정보 작전

그 후 2026 년 4 월 1 일, 솔라나(Solana) 최대의 무기한 선물 DEX 인 드리프트 프로토콜(Drift Protocol)은 약 12 분 만에 약 2 억 8,600 만 달러를 잃었으며, 대부분의 자금은 몇 시간 내에 이더리움으로 브릿징되었습니다. Elliptic, TRM, Chainalysis 는 이 공격의 주체로 AppleJeus 및 Citrine Sleet 로도 추적되는 북한 연계 클러스터인 UNC4736 을 지목했습니다.

이것은 단순한 기회주의적 공격이 아니었습니다. 드리프트의 사고 후 공개 보고서에 따르면, 공격자들은 약 6 개월 동안 퀀트 트레이딩 기업으로 위장했습니다. 그들은 업계 컨퍼런스에서 드리프트 기여자들을 만났습니다. 그들은 합법적인 거래 자금처럼 보이는 100 만 달러 이상의 자본을 예치했습니다. 그들은 에코시스템 볼트(Ecosystem Vault)를 제안하고 통합했습니다. 그들은 장기적인 신뢰 사기 작전이 신뢰를 구축하는 방식과 같이 인내심을 갖고, 비용을 들여, 멀티시그 서명자들에게 접근하여 기기를 해킹하려는 명확한 목표를 가지고 신뢰를 쌓았습니다.

마침내 실행된 기술적 익스플로잇은 악성 테스트플라이트(TestFlight) 베타 애플리케이션과 VSCode / Cursor 확장 프로그램을 포함한 취약점 체인을 활용하여 사전 서명된 멀티시그 권한을 획득했습니다. 지연 시간이 없는 보안 위원회(Security Council) 마이그레이션 — 지연 없이는 존재해서는 안 되었을 거버넌스 메커니즘 — 은 프로토콜의 마지막 방어 체크포인트를 제거했습니다. 누군가 이를 알아챘을 때는 이미 멀티시그가 공격자의 트랜잭션 트리를 승인한 후였습니다.

어떠한 수준의 솔리디티(Solidity) 검토도 이를 막을 수 없습니다. 드리프트의 컨트랙트는 오늘날에도 여전히 실행 중입니다. 이 침해 사고는 단 한 번의 서명된 트랜잭션으로 끝난 6 개월간의 인적 정보 작전(Human Intelligence Operation)이었습니다.

방어자의 지도가 틀린 이유

한 걸음 물러나 보겠습니다. 2026 년 1 분기 암호화폐 손실액 분포는 대략 다음과 같았습니다: 피싱 및 사회 공학적 해킹 — 3 억 600 만 달러, 개인 키 및 클라우드 키 탈취 — 나머지 대부분, 순수 스마트 컨트랙트 익스플로잇 — 소수에 불과했습니다. 사고 횟수 분포는 인프라 쪽으로 더욱 치우쳐 있습니다. 2026 년 1 분기에 분류된 사고의 76% 는 개인 키 탈취, 클라우드 키 관리 실패 또는 브릿지 검증인 장악과 관련이 있었습니다.

업계의 보안 방어 비용 지출은 이러한 분포와 일치하지 않습니다. 일반적인 중견 규모의 DeFi 프로토콜은 스마트 컨트랙트 검토를 위해 감사 주기당 20 만 달러에서 100 만 달러를 지출하지만, 정작 다음 항목에는 사실상 비용을 지출하지 않습니다.

  • 서명 키를 호스팅하는 AWS / GCP 환경에 대한 클라우드 보안 태세 관리.
  • 멀티시그 서명자의 노트북에 대한 엔드포인트 탐지 및 대응(EDR).
  • 지원 팀 및 파트너 관계를 대상으로 하는 사회 공학적 레드팀 훈련.
  • 빌드 파이프라인 및 IDE 확장 프로그램(드리프트 공격 체인은 Cursor 를 통해 진행됨)에 대한 공급망 강화.
  • 몇 시간이 아닌 몇 분 내에 조치할 수 있는 사고 대응 예약 서비스(Retainers).

이를 매년 은행 규제 준수 및 인프라 보안에 약 300 억 달러를 지출하는 전통 금융과 비교해 보십시오. 암호화폐의 감사 산업은 인상적으로 성숙해졌습니다. 하지만 나머지 보안 스택 — 현재 공격자들이 실제로 활동하는 영역에 해당하는 부분 — 은 대략 1990 년대 후반의 은행 보안 수준에 머물러 있습니다.

향후 12 개월을 정의할 세 가지 패턴

그림자 전염(Shadow contagion)은 새로운 시스템적 리스크입니다. Morpho Blue, Euler, Fluid 를 통한 Resolv 연쇄 반응은 우연이 아니며 구조적인 문제입니다. 스테이블코인, LST, 수익률 래퍼(yield wrappers)가 서로 더 깊게 결합됨에 따라, 단일 기초 자산에서의 익스플로잇은 멀티 프로토콜 문제로 번집니다. 우리가 기능으로서 환호했던 결합성(Composability)은 보안 관점에서 볼 때 헤지되지 않은 상관관계입니다. 프로토콜들이 대출 시장에서 명시적인 "결합 리스크 프리미엄"을 부과하기 시작하고, 인덱스형 애그리게이터들이 실시간 "익스플로잇 피해 반경" 지표를 게시하기 시작할 것으로 예상됩니다.

국가 지원 해킹의 배후 지목은 더 이상 꼬리 위험(Tail risk)이 아니라 일반적인 사례입니다. 북한 클러스터는 2025 년 한 해에만 전체 손실액의 절반이 넘는 약 20 억 4,000 만 달러를 암호화폐에서 탈취했으며, 드리프트 작전은 그들이 수억 달러의 수익을 위해 6 개월의 시간을 투자할 의지가 있음을 보여줍니다. 북한의 위협 모델을 대형 거래소들만 계획해야 할 문제로 취급하는 것은 이제 구시대적인 발상입니다. 멀티시그, 5,000 만 달러 이상의 재무고(Treasury), 또는 에코시스템 볼트 프로그램을 운영하는 모든 DeFi 프로젝트는 실행 가능한 공격 대상입니다.

풀스택 보안 인증이 조달 요건이 될 것입니다. 오늘날에는 "신뢰할 수 있는 업체로부터 감사받음"이라는 문구만으로도 대부분의 프론트엔드와 애그리게이터에 상장하기에 충분합니다. 하지만 향후 12 개월에서 18 개월 내에 기관 할당자, ETF 발행사 및 주요 프론트엔드 애그리게이터는 솔리디티뿐만 아니라 클라우드 설정, 키 관리, 엔드포인트 보안, 공급망 및 사회 공학적 탄력성을 포괄하는 증거를 요구할 것입니다. 이러한 종류의 풀스택 인증을 게시하는 최초의 프로토콜들이 실질적인 유통 우위를 점하게 될 것입니다.

89% 라는 숫자에 숨겨진 불편한 진실

"스마트 컨트랙트 익스플로잇 89% 감소"와 같은 헤드라인은 승전보처럼 들립니다. 실제로 그렇기도 합니다. 보안 감사 업계는 승리할 자격이 있습니다. 하지만 동일한 데이터 세트는 방어자들이 직면해야 할 또 다른 이야기를 들려줍니다. 공격자들은 경제적으로 합리적이며, 항상 취약한 대상을 찾아냅니다. 컨트랙트 레이어를 폐쇄하자 공격 표면은 개인 키, 클라우드 인프라, 지원 직원 및 IDE 확장 프로그램으로 재라우팅되었을 뿐입니다.

다행인 점은 손실 항목을 지배하는 거의 모든 공격 벡터가 하드웨어 격리 서명, 필수 트랜잭션 시뮬레이션, 키 사용에 대한 행동 분석, 거버넌스 흐름의 정형화된 위협 모델링, 사회 공학에 대한 문화적 관행 등 광범위한 사이버 보안 업계가 수년 동안 보유해 온 기술로 해결 가능하다는 것입니다. 이 중 어느 것도 연구 단계의 기술이 아닙니다. 모두 구현의 문제이며, 프로토콜 팀들이 여전히 2022 년의 위협 모델에 맞춰 예산을 짜고 있기 때문에 거의 실행되지 않고 있을 뿐입니다.

앞으로 2 년 동안 살아남을 프로토콜은 단 한 문장을 내면화하는 곳입니다: 감사는 가장 쉬운 부분이었습니다.

BlockEden.xyz 는 Sui, Aptos, Ethereum, Solana 및 25 개 이상의 네트워크에서 빌더를 위한 프로덕션 블록체인 인프라를 운영합니다. 우리는 키 관리, 엔드포인트 강화 및 액세스 제어를 노드 소프트웨어와 동일한 수준의 엄격함으로 처리합니다. API 마켓플레이스 둘러보기를 통해 운영 리스크를 스택에서 완전히 제거하도록 설계된 인프라 위에서 빌드해 보세요.

출처

Share on Twitter