본문으로 건너뛰기

2026년 1분기 암호화폐 보안 보고서: 15억 달러 Bybit 해킹이 인프라 공격의 새 시대를 예고하는 이유

· 약 9 분
Dora Noda
Dora Noda
Software Engineer

숫자만 보면 안심이 될 법했습니다. 스마트 컨트랙트 감사는 역사상 가장 정교해졌고, 형식 검증은 주류가 되었으며, DeFi 프로토콜들은 집합적으로 수억 달러를 보안 검토에 쏟아부었습니다. 그럼에도 2026년 1분기, 암호화폐 업계는 20억 달러 이상을 잃었고—그중에는 디지털 자산 역사상 최대 단일 도난 사건도 포함됩니다. 원인은 Solidity 버그가 아니었습니다. 바로 침해당한 개발자 노트북이었습니다.

이것이 2026년의 결정적인 보안 이야기입니다: 온체인 코드가 더 안전해질수록 공격자들은 오프체인으로 이동했습니다. 전쟁터는 더 이상 스마트 컨트랙트 바이트코드가 아닙니다—클라우드 자격 증명, 개발자 기기, DNS 레코드, npm 패키지, 그리고 다중 서명자의 인간 심리입니다. Web3 인프라를 구축하거나 투자하는 모든 사람에게 이 변화를 이해하는 것은 선택이 아닙니다.

헤드라인 수치: 기만적인 그림

2026년 1분기는 60개 이상의 DeFi 중심 사건에서 약 4억 5000만 달러의 손실을 기록했습니다—보안 연구자들은 이 수치를 암호화폐 도난의 규모와 지속성의 증거로 인용합니다. 그러나 이 수치만으로는 분기의 실제 피해가 과소평가됩니다.

2026년 2월 21일, 북한의 Lazarus Group은 단일 작전으로 Bybit에서 약 15억 달러를 훔쳤습니다—역대 가장 큰 암호화폐 도난 기록입니다. 더 넓은 1분기 DeFi 사건 데이터와 합산하면 2026년 첫 3개월간 총 암호화폐 손실은 20억 달러를 초과했습니다.

월별 분석은 극심한 변동성을 보여줍니다:

  • 2026년 1월: 약 3억 7000만~4억 달러, 단일 2억 8200만 달러 피싱 공격이 주도
  • 2026년 2월: DeFi 사건으로 약 4900만 달러(Bybit의 15억 달러 별도)
  • 2026년 3월: 20개 이상 사건에서 약 5200만 달러—2월 대비 96% 증가

사칭 사기는 전년 대비 1400% 급증했습니다. 반면 스마트 컨트랙트 익스플로잇은 절대 손실 기준 전년 대비 약 89% 감소했습니다. 업계의 코드는 더 안전해지고 있습니다. 그 사람들, 시스템, 인프라가 새로운 공격 면이 되었습니다.

Bybit: 공급망이 스마트 컨트랙트를 이겼을 때

Bybit 침해는 이미 보안 업계의 교과서적 사례가 되었으며, 당연한 일입니다. 실제로 무슨 일이 있었는지 살펴보겠습니다.

Bybit는 암호화폐에서 가장 신뢰받는 다중 서명 스마트 컨트랙트 지갑 중 하나인 Safe{Wallet}을 사용해 고객 자금을 보관했습니다. Safe{Wallet} 컨트랙트 자체는 침해되지 않았습니다. 대신 Lazarus Group(TraderTraitor와 APT38으로도 알려진 북한 정찰총국 산하 부대)이 Safe{Wallet} 엔지니어링 팀의 개발자 기기를 침해했습니다.

이 발판을 이용해 공격자들은 Safe{Wallet} 웹 인터페이스에 악성 JavaScript를 주입했습니다. 코드는 정교했습니다: Bybit를 제외한 모든 사용자에게는 정상적으로 실행되었으며, Bybit가 특정 유형의 콜드 월렛 거래를 실행할 때만 동작했습니다. Bybit의 서명자들이 일상적인 내부 이전처럼 보이는 거래를 시작했을 때, 그들은 자신도 모르게 약 15억 달러 상당의 ETH와 ERC-20 토큰을 보유한 콜드 월렛의 제어권을 공격자에게 이전하는 거래에 서명했습니다.

악성 거래 실행 2분 후, Lazarus는 깨끗하고 수정되지 않은 JavaScript 파일을 Safe{Wallet}의 AWS S3 버킷에 업로드해—거의 실시간으로 흔적을 지웠습니다.

FBI는 귀속을 확인했습니다. 북한은 암호화폐 도난을 통해 무기 프로그램의 상당 부분을 자금 조달하며, Bybit에서 얻은 수익은 단일 작전으로는 역대 최대입니다.

보안 교훈은 명확합니다: Bybit의 스마트 컨트랙트는 안전했습니다. 지갑 거버넌스는 다중 서명 검사를 통과했습니다. 서명자들은 명백하게 잘못된 일을 하지 않았습니다. 공격 벡터는 소프트웨어 공급망이었습니다—대부분의 암호화폐 보안 프레임워크조차 다루지 않는 레이어입니다.

1월 피싱 대유행: 단일 사기로 2억 8200만 달러

Bybit 이전에, 2026년 1월은 자체 기록을 세웠습니다. 1월 16일, 한 투자자는 하드웨어 지갑 사용자를 표적으로 한 정교한 피싱 캠페인으로 2억 8400만 달러를 잃었습니다. 공격은 Trezor 고객 지원을 사칭해 가짜 긴급 보안 경고를 통해 피해자가 복구 시드 문구를 공개하도록 조작했습니다.

단일 소셜 엔지니어링 공격. 하나의 시드 문구. 2억 8200만 달러 사라짐.

1월 총 손실은 약 3억 7000만~4억 달러에 달했으며, 단일 공격이 해당 월 피해의 거의 80%를 차지했습니다. 1분기 전체에서 피싱과 소셜 엔지니어링은 2억 9000만 달러 이상의 도난 자금을 차지했습니다—다른 모든 공격 유형을 합친 것보다 많습니다. 2026년 1분기 스마트 컨트랙트 익스플로잇으로 잃은 1달러마다, 인간 조작을 통해 거의 4달러가 도난당했습니다.

사칭 사기의 극적인 증가는 합리적인 공격자 계산을 반영합니다: 보안 연구자들은 이제 Solidity 취약점을 찾는 데 매우 능숙하지만 인간은 일관되게 악용 가능합니다. 암호화폐 사용자들은 수십만~수백만 달러 가치의 자산을 통제하고, 시간적 압박 하에 운영하며, 최소한의 노력으로 스푸핑될 수 있는 정교해 보이는 인터페이스와 상호작용합니다.

Drift Protocol: 6개월간의 정보 침투 작전

2026년 4월 1일—2분기 시작을 알리지만 전체 분기 보안 태세에 그림자를 드리운—Drift Protocol은 역대 가장 운영적으로 정교한 DeFi 익스플로잇으로 2억 8600만 달러를 잃었습니다.

공격자들은 스마트 컨트랙트 버그를 찾지 않았습니다. 그들은 더 가치 있는 것을 발견했습니다: 신뢰.

북한 국가 연계 그룹은 퀀트 트레이딩 회사로 위장해 Drift Protocol에 침투하는 데 약 6개월을 보냈습니다. 그 기간 동안 그들은:

  1. 암호화폐 컨퍼런스에서 Drift 기여자들과 직접 만나 관계 신뢰를 구축
  2. 실제 참여자로서의 합법성을 확립하기 위해 Drift Protocol에 100만 달러 이상 예치
  3. 생태계 볼트 제품을 통합해 프로토콜에 더 가까운 기술적 접근 확보
  4. 악성 TestFlight 앱과 VSCode/Cursor 확장 취약점을 통해 개발자 기기 침해
  5. 침해된 기기를 사용해 Drift 보안 위원회 다중 서명 5개 중 2개 서명 획득

두 개의 서명을 확보한 후, 그들은 Solana의 지속성 논스 기능을 악용했습니다—사전 서명된 거래가 블록 높이 변경에 걸쳐 유효하게 유지되도록 하는 합법적인 메커니즘으로, 오프라인 서명 워크플로우의 편의성을 위해 설계되었습니다. 공격자들은 이를 사용해 라이브 거래 승인을 비축해 두고, 수분 내에 실행했습니다: 무가치한 가짜 토큰(CVT)을 담보로 화이트리스트에 추가하고, 5억 CVT를 예치하고, USDC, SOL, ETH를 포함한 실제 자산 2억 8500만 달러를 인출했습니다.

전체 인출은 약 12분이 걸렸습니다. 준비 작업은 6개월이 걸렸습니다.

이 공격 패턴—인내심 있고, 신원 기반이며, 버그가 아닌 합법적인 프로토콜 기능을 활용하는—은 DPRK의 진화하는 플레이북의 고급 형태입니다.

북한의 산업화된 암호화폐 도난

2026년 1분기 보안 환경을 분석하면서 불편한 현실을 직면하지 않을 수 없습니다: 북한은 국가 운영의 산업 규모 암호화폐 도난 프로그램을 운영하고 있으며, 가속화되고 있습니다.

2026년 1분기에 걸쳐, DPRK 연계 작전은 최소 18개의 추적된 작전에서 확인된 손실 3억 달러 이상을 차지했습니다. 그들의 공격 면은 이제 다음을 포괄합니다:

  • CEX 콜드 월렛 공급망 공격(Bybit): 컨트랙트가 아닌 서명자가 사용하는 소프트웨어 침해
  • DeFi 소셜 엔지니어링(Drift): 수개월에 걸쳐 신뢰받는 참여자로 프로토콜에 침투
  • 개발자 공급망(npm/PyPI 캠페인): 가짜 리크루터 취업 제안 명목으로 악성 패키지 게시해 개발자 환경 침해 및 자격 증명 도난
  • IT 직원 침투: DPRK 요원들이 암호화폐 회사에 원격 개발자로 잠입해 믹서를 통해 라우팅된 급여 수령(OFAC는 2026년 3월 이와 관련해 6명의 개인과 2개 기업 제재)

공통된 맥락은 기술적으로 코드를 악용하는 것에서 사람, 신뢰, 인프라를 체계적으로 악용하는 것으로의 전환입니다.

구조적 전환: 2026년 "전체 스택 보안"의 의미

2026년 1분기 데이터는 암호화폐 보안 전문 분야가 범위를 확장해야 한다는 명확한 주장을 합니다. Web3의 전통적인 보안은 거의 전적으로 스마트 컨트랙트 감사에 집중해 왔으며—그 집중은 결과를 만들었습니다. 온체인 코드는 2021-2022년보다 진정으로 더 안전합니다.

그러나 공격자들은 포기하지 않았습니다; 그들은 전환했습니다. 새로운 공격 면에는 다음이 포함됩니다:

클라우드 인프라: AWS 자격 증명, Docker 이미지, Kubernetes 파드 시크릿, S3 버킷. Bybit 해킹은 S3 업로드를 통해 악성 JavaScript를 배포하고 덮어썼습니다.

CI/CD 파이프라인: 서명 키, 배포 환경, 프로덕션 시크릿에 대한 특권 접근 권한을 가진 빌드 시스템. 파이프라인을 침해하면 모든 다운스트림 배포가 침해됩니다.

npm과 패키지 생태계: Lazarus Group과 제휴 위협 행위자들은 인기 있는 암호화폐 개발자 라이브러리와 유사한 이름의 악성 패키지를 지속적으로 배포해 AWS 토큰, GitHub PAT, SSH 키, 환경 변수를 수집하도록 구성했습니다.

DNS 인프라: 2026년 여러 사건에서 합법적인 프로토콜 프론트엔드 사용자를 공격자가 통제하는 피싱 사이트로 리디렉션하는 DNS 하이재킹이 발생했습니다. 온체인 코드가 완벽해도 DNS가 침해되면 사용자는 자금을 잃습니다.

인간 신원: N-of-M 서명을 요구하는 다중 서명 방식은 해당 키를 보유한 인간만큼만 안전합니다. 공격자가 다섯 명의 서명자 중 두 명을—악성 소프트웨어, 소셜 엔지니어링, 장기 침투를 통해—침해할 수 있다면 다중 서명은 아무런 방어를 제공하지 않습니다.

이것이 2026년 "전체 스택 보안"의 의미입니다: Solidity 감사는 기본 요건이지 전부가 아닙니다.

빌더들이 다르게 해야 할 것

2026년 1분기 데이터는 구체적인 방어 권고 사항을 제시합니다:

서명 환경을 강화된 인프라로 취급하십시오. 다중 서명의 하드웨어 보안 키는 전용 에어갭 또는 엄격히 통제된 기기에서 사용해야 합니다. Drift 보안 위원회 서명자의 VSCode 확장이 서명 활동을 캡처하도록 침해될 수 있다면, 다중 서명은 보이는 것보다 덜 안전합니다.

의존성에 대한 공급망 통제를 구현하십시오. 무결성 해시로 npm 및 PyPI 패키지 버전을 고정하십시오. CI에서 의존성 감사를 실행하십시오. 광범위한 환경 변수 접근이나 네트워크 이그레스를 요청하는 패키지에 특히 주의하십시오.

프론트엔드를 컨트랙트만큼 진지하게 방어하십시오. DNS 모니터링, CSP 헤더, 로드된 스크립트에 대한 하위 리소스 무결성, 무단 덮어쓰기를 방지하는 AWS S3 버킷 정책은 상당한 사용자 자금을 보유한 프로토콜에 더 이상 선택 사항이 아닙니다.

인간 공격 면을 레드팀으로 테스트하십시오. 침투 테스트에는 소셜 엔지니어링 시뮬레이션—가짜 리크루터 외부 연락, 가짜 긴급 지원 요청, 가짜 거버넌스 비상 사태—을 포함해야 합니다. Drift 공격 벡터는 예측 가능했으며 테이블탑 연습으로 감지할 수 있었습니다.

거버넌스 신원을 업무 신원으로부터 분리하십시오. 프로토콜 보안 위원회 구성원은 일상적인 개발 신원과 거버넌스 서명 역할 간의 엄격한 분리를 유지해야 합니다. 침해된 업무 노트북이 다중 서명 키에 접근할 수 없어야 합니다.

전망: Web3 보안의 전문화

2026년 1분기는 강제적인 변화의 계기입니다. Web3에 필요한 보안 산업—스마트 컨트랙트 감사와 함께 클라우드 보안, 공급망 위생, 인적 요인 레드팀 테스트, 운영 보안을 다루는—은 아직 구축 중입니다. 전체 스택 Web3 보안을 위한 인재, 도구, 조직 구조는 초기 단계입니다.

분명한 것은 허니팟이 계속 커진다는 것입니다. 기관 자본이 암호화폐 프로토콜, 거래소, DeFi 시장으로 유입될수록 DPRK 같은 정교한 공격자들이 이용할 수 있는 자원도 비례해 증가합니다. 2017년 이후 추정 67억 5000만 달러의 암호화폐를 훔친 국가 행위자는 이전 목표가 성공했다고 해서 다음 목표를 덜 매력적으로 생각하지 않을 것입니다.

다음 사이클을 통해 생존하고 번영할 프로토콜과 인프라 제공자들은 보안을 일회성 감사가 아닌 운영 규율로 취급하고, 위협 모델을 EVM을 넘어 사용자가 의존하는 스택의 모든 레이어로 확장하는 곳들이 될 것입니다.

BlockEden.xyz는 Sui, Aptos, 이더리움 및 20개 이상의 다른 블록체인을 위한 엔터프라이즈급 RPC 노드와 API 인프라를 운영합니다. 우리 인프라는 DNS, 클라우드, 네트워크 레이어 전반에 걸쳐 다층 보안 제어로 구축되어 있습니다—2026년 1분기의 가장 큰 피해를 입힌 공격이 정의한 바로 그 위협 면입니다. API 마켓플레이스 탐색을 통해 실제로 존재하는 위협 환경을 위해 설계된 인프라 위에 구축하세요.

Share on Twitter