암호화폐 거래소 해킹: 최대 규모 해킹 사건 및 안전 수칙
도주 차량은 잊으세요. 이제 지구상에서 가장 수익성이 높은 강도 사건은 노트북, 속아 넘어간 직원, 그리고 아무도 되찾을 수 없는 지갑 주소 하나로 해결됩니다. 암호화폐 거래소 해킹은 온라인에서 가장 수익성이 높은 범죄로 조용히 성장해 왔으며, 그 피해는 줄어들 기미가 보이지 않습니다. 2025년 한 해에만 도둑들은 암호화폐 플랫폼에서 약 34억 달러를 훔쳐갔는데, 이는 단 1년 만에 55% 증가한 수치이며, 단 한 건의 해킹으로 그중 거의 절반이 날아갔습니다. 거래소에 코인을 보관하는 것은 가입 화면에 명시되었든 아니든 간에 이러한 위험을 감수하는 것과 마찬가지입니다. 다행스러운 점은 거의 모든 해킹의 원인이 몇 가지 공통적인 실수에 있다는 것입니다. 이러한 실수들을 피하면 대부분의 위험을 피할 수 있습니다.
암호화폐 거래소가 왜 그토록 매력적인 공격 대상이 되는가
거래소가 실제로 무엇인지 생각해 보세요. 거래소는 다른 사람들의 수십억 달러에 달하는 돈을 관리하는 단일 회사입니다. 그 돈의 상당 부분은 인터넷에 연결된 "핫 월렛"에 보관되어 있어 고객들은 새벽 3시에도 거래할 수 있습니다. 이러한 핫 월렛 뒤에는 열쇠와 접근 권한을 가진 수십 명의 직원들이 있으며, 인간이라면 누구나 겪는 약점도 존재합니다. 지구상의 어떤 은행 금고도 그렇게 가치를 한곳에 모아둘 수는 없습니다.
이것이 바로 암호화폐의 핵심에 놓인 불편한 상충 관계입니다. 암호화폐 거래소를 사용하기 쉽게 만드는 중앙 집중화는 동시에 해커의 표적이 되기 쉽습니다. 사용자 친화적인 앱, 즉시 거래, 비밀번호 재설정 버튼이 있기 때문입니다. 해커는 수천만 개의 목표물이 아닌 단 하나의 목표물만 노릴 수 있습니다. 은행 강도는 서랍 안에 있는 것만 가져갈 수 있지만, 거래소를 털면 모든 것을 한 번에 탈취한 후 법원이 손댈 수 없는 곳으로 옮길 수 있습니다.
거래소가 운영하는 두 가지 유형의 암호화폐 지갑을 이해하는 것이 중요합니다. 콜드 월렛은 오프라인 상태로 유지되어 원격 접근이 매우 어렵지만, 접근 속도가 느립니다. 핫 월렛은 항상 온라인 상태를 유지하여 출금이 즉시 처리되도록 설계되었지만, 바로 이 때문에 자금이 가장 많이 유출되는 지갑이기도 합니다. 모든 거래소는 이 두 가지 유형의 지갑 사이에서 균형을 유지하려고 노력하며, 편의성을 지나치게 우선시할 경우 해킹 위험이 커집니다. 매년 발생하는 총액을 보면 그 균형이 어떻게 변했는지 알 수 있습니다. 체이나리시스(Chainalysis)에 따르면 2024년에는 약 22억 달러, 2025년에는 약 34억 달러의 암호화폐가 해킹으로 사라졌으며, 이 수치는 계속 증가하고 있습니다.
역대 최대 암호화폐 거래소 해킹 사건 순위
이 목록은 단순히 수치스러운 명단이 아닙니다. 위에서 아래로 읽어보면, 허술하게 노출된 개인 정보 지갑에서부터 국가 차원의 해킹 조직이 소프트웨어 공급망에 침투하는 것에 이르기까지 공격 방식이 어떻게 변화해왔는지 알 수 있습니다. 순위 자체가 그 변화를 보여주는 이야기입니다.
Bybit 2025: 15억 달러 기록 달성
2025년 2월, 공격자들은 단 하루 만에 바이비트(Bybit)에서 약 15억 달러 상당의 이더리움(이더)을 빼돌리는 사건을 일으켰습니다. CNBC 보도에 따르면 이는 암호화폐 해킹 역사상 최대 규모였습니다. 하지만 모두가 우려해야 할 점은 공격자들이 바이비트 시스템에 직접 침입한 것이 아니라는 사실입니다. 그들은 바이비트가 사용하는 제3자 서명 도구인 Safe{Wallet}의 개발자 컴퓨터를 해킹하여 인터페이스에 악성 코드를 삽입했습니다. 이로 인해 송금 승인 담당자는 정상적인 거래처럼 보이지만 실제로는 악성 거래를 승인하게 된 것입니다. 이 사건의 배후에는 북한의 라자루스 그룹(Lazarus Group)이 있었습니다. 다행히 바이비트는 자체 보유 자금으로 고객 손실을 보전했습니다.
규모 외에도 이 사건이 중요한 이유는 바로 판도를 바꾼 사건이기 때문입니다. 10년 동안 거래소에 대한 표준적인 조언은 "키를 안전하게 지키고 대부분의 자금을 콜드 스토리지에 보관하라"는 것이었고, 바이비트(Bybit)는 그 조언을 정확히 따랐습니다. 공격자들은 거래소 자체를 공격하는 대신 거래소가 신뢰하는 소프트웨어를 표적으로 삼았습니다. 이는 방어하기 훨씬 더 어려운 문제입니다. 이제 보안은 체인에 속한 모든 공급업체와 도구의 수준에 달려 있기 때문입니다. 모든 주요 플랫폼은 이후 몇 달 동안 그동안 의심조차 하지 않았던 소프트웨어에 대한 감사를 진행했습니다.
Mt. Gox, Coincheck, 그리고 초기의 재앙들
과거의 암호화폐 거래소 해킹은 훨씬 조잡했지만, 그 피해는 마찬가지로 컸습니다. 마운트곡스를 예로 들어보겠습니다. 한때 세계 최대 암호화폐 거래소였던 마운트곡스는 전 세계 비트코인 거래량의 대부분을 처리했지만, 약 85만 BTC가 유출된 후 2014년에 파산했습니다. 업계는 아직도 그 여파를 수습하고 있습니다. 코인체크는 2018년에 약 5억 3천만 달러 상당의 NEM을 해킹당했는데, 그 이유는 아주 어처구니없었습니다. 토큰을 다중 서명 보호 기능이 없는 핫월렛에 보관해 둔 것이었습니다. FTX는 좀 특이한 사례입니다. 2022년 파산의 원인은 해킹보다는 사기가 대부분이었지만, 파산 신청을 한 바로 그날 밤 누군가 약 4억 달러를 빼돌렸습니다. 외부 공격이었을까요, 아니면 내부 소행이었을까요? 여전히 논쟁이 끊이지 않습니다. 아래 표는 최악의 해킹 사례들을 정리한 것입니다.
| 교환 | 년도 | 훔친 | 무엇이 실패했는가 |
|---|---|---|---|
| 바이빗 | 2025 | 약 15억 달러 | 제3자 서명 인터페이스가 손상되었습니다. |
| 코인체크 | 2018 | 약 5억 3천만 달러 | NEM은 핫월렛에 보관되어 있으며 다중 서명이 없습니다. |
| 마운트곡스 | 2014 | 약 85만 BTC | 수년간 발각되지 않은 핫월렛 절도 사건 |
| DMM 비트코인 | 2024 | 약 3억 5백만 달러 | 판매업체 직원을 대상으로 한 사회공학적 기법 |
| 쿠코인 | 2020 | 약 2억 8천만 달러 | 핫월렛 개인 키 유출 (73% 복구) |
| 와지르엑스 | 2024 | 약 2억 3천만 달러 | 멀티시그 업그레이드 취약점 이용 |
| FTX | 2022 | 약 4억 달러 | 붕괴 중 해킹 |
암호화폐 거래소 해킹은 실제로 어떻게 발생하는가?
어두운 방에서 천재가 암호를 해독하는 영화 속 장면은 잊으세요. 암호화폐를 보호하는 암호화 기술 자체는 거의 뚫리지 않습니다. 오히려 암호화 키, 담당자, 그리고 그들이 신뢰하는 소프트웨어 등 주변의 모든 것이 무너집니다. 전문 용어를 걷어붙이고 보면, 이러한 암호화폐 해킹의 거의 대부분은 다음 두 가지 중 하나에 해당하는 실패로 귀결됩니다.
도난당한 열쇠 및 핫월렛 노출
개인 키를 가진 자가 코인을 완전히 통제합니다. 따라서 암호화폐를 훔치려는 공격자들은 이를 보호하는 수학적 알고리즘보다는 개인 키 자체를 노립니다. 2024년 전체 암호화폐 도난 사건 중 개인 키 유출이 43.8%를 차지하며 가장 큰 비중을 차지했습니다. 핫월렛에 너무 많은 암호화폐를 보관하거나 개인 키를 부주의하게 관리하는 거래소는 단 하나의 시스템이 해킹당하는 순간 전체 암호화폐를 도둑에게 넘겨주는 셈입니다.
사회 공학 및 공급망 변화
더욱 새롭고 무서운 공격 방식은 바로 사람입니다. 북한 공작원들은 링크드인에서 채용 담당자로 위장하여 직원의 컴퓨터에 악성코드를 심었습니다. 3억 500만 달러 규모의 DMM 비트코인 탈취 사건도 이러한 사회공학적 취약점을 이용한 것입니다. 그들은 바이빗(Bybit)과 같은 거래소에서 사용하는 도구에 코드를 삽입하기도 합니다. 유출된 API 키를 악용하고, 세션 쿠키를 탈취하며, 직원을 사칭하여 동료를 속여 송금을 승인하게 만들기도 합니다. 딥페이크로 만든 음성과 영상까지 이러한 수법에 등장하면서 "상사가 진짜인지 확인하라"는 옛말이 더 이상 통하지 않게 되었습니다. 제가 이 점을 계속 강조하는 이유는 업계에서 여전히 "군사급 암호화"를 홍보하지만, 실제로는 지친 엔지니어가 가짜 채용 공고를 클릭하는 과정에서 문제가 발생하기 때문입니다. 암호화 자체는 완벽하지만, 이를 사용하는 사람들은 그렇지 않으며, 공격자들은 이미 오래전에 이 사실을 알아냈습니다.
북한: 최대 규모 절도 사건의 배후 조직들
현대 암호화폐 거래소 해킹 사건에서 공통적으로 나타나는 특징은 바로 국가가 대부분의 해킹을 주도한다는 점입니다. 체이나리시스(Chainalysis)에 따르면, 북한의 해킹 조직, 특히 라자루스 그룹(Lazarus Group)은 2025년 한 해에만 약 20억 2천만 달러(한화 약 76%)를 훔쳤는데, 이는 그해 전체 해킹 피해액의 약 76%에 해당합니다. TRM 랩(TRM Labs) 연구진은 북한 정권의 누적 해킹 피해액이 73억 달러를 넘어설 것으로 추산했습니다.
이들을 다른 범죄자들과 차별화하는 것은 인내심과 규모입니다. 이들은 단순히 약탈하는 것이 아닙니다. 공격 횟수는 적지만 훨씬 더 큰 규모의 공격을 감행하며, 목표물에 수개월 동안 머물다가 이동하고, 훔친 자금을 세탁하여 제재 대상 국가의 무기 개발 프로그램을 지원합니다. 공격 속도 또한 전혀 느려지지 않았습니다. TRM Labs는 2026년 첫 4개월 동안 업계 전반에서 7억 7천만 달러 이상의 암호화폐 도난 사건을 집계했는데, 그중 약 76%가 북한의 소행으로 단 두 차례의 공격으로 발생했습니다. 이는 문제의 본질을 완전히 바꿔놓습니다. 이제 가장 큰 규모의 암호화폐 도난 사건은 개인 범죄자의 소행이 아니라 국가가 배후에서 조종하는 범죄이며, 정부에 급여를 지급하는 조직과 맞서 싸워야 합니다. 개별 거래소는 이러한 싸움에서 계속해서 패배하고 있습니다.
도난당한 암호화폐는 어디로 가는가, 그리고 왜 되찾기가 어려운가
사람들은 해커들이 결국 잡히고 돈은 돌아올 거라는 위안이 되는 이야기에 매달립니다. 하지만 그런 일은 거의 일어나지 않습니다. 자금이 이동하는 순간 무슨 일이 벌어지는지 살펴보세요. 도둑들은 자금을 여러 경로를 통해 분산시키고 재배분하며, 한 시간도 채 안 되어 흔적도 없이 사라집니다.
몇 가지 예외는 존재하지만, 이는 오히려 일반적인 규칙을 증명할 뿐입니다. 폴리 네트워크(Poly Network) 해커는 2021년에 6억 1100만 달러를 빼돌렸다가 거의 전부를 돌려줬는데, 그 이유는 아무도 제대로 설명하지 못했습니다. 쿠코인(KuCoin)은 신속한 자산 동결과 보험을 통해 2020년 손실액의 대부분을 회복했습니다. 바이빗(Bybit)은 최근 사용자들에게 손실액을 상환했습니다. 이들은 운이 좋은 경우입니다. 마운트곡스(Mt. Gox) 채권자들은 어떨까요? 10년이 넘도록 여전히 기다리고 있으며, 상환 기한은 2026년 10월로 연장되었고 수만 개의 비트코인이 아직 반환되지 않았습니다. 씁쓸한 아이러니는 이 모든 일이 공개 블록체인 상에서 벌어지고 있다는 점입니다. 분석가들은 도난당한 자금이 사라지는 것을 실시간으로 지켜보면서도 아무런 조치를 취하지 않습니다. 빼앗긴 돈은 다시는 돌아오지 않을 돈으로 취급해야 합니다.
FTX는 업계에 유용한 흔적을 남겼습니다. 바로 거래소가 보유 코인을 실제로 보유하고 있음을 공개적으로 보여주는 암호화폐 방식인 준비금 증명(Proof-of-Reserves)으로 업계를 이끌었다는 점입니다. 해킹을 막을 수 있을까요? 아닙니다. 하지만 FTX가 수개월 동안 숨겨왔던 조용한 파산을 밝혀낼 수 있을까요? 대체로 그렇습니다. 따라서 거래소가 준비금 증명을 공개하지 않는다면, 그 이유에 대해 스스로 결론을 내려야 합니다.
거래소 해킹으로부터 암호화폐를 보호하는 방법
숨 가쁘게 나열되는 "역대 최대 해킹 사건" 목록에서 흔히 빠져드는 부분이 바로 이겁니다. 암호화폐 거래소 해킹은 일반 사용자를 직접 표적으로 삼는 경우는 드물지만, 스스로를 훨씬 더 어려운 표적으로 만들 수는 있습니다. 대부분은 화려하지 않고, 몇 시간만 투자하면 됩니다.
자가 보관 및 냉장 보관
암호화폐의 가장 오래된 규칙은 여전히 유효합니다. 바로 "내 키가 아니면 코인도 없다"는 것입니다. 활발하게 거래하지 않는 모든 자산은 거래소에서 꺼내 하드웨어 지갑 이나 인터넷에 절대 연결되지 않는 콜드 스토리지에 보관하세요. 복구 문구는 종이에 적어 안전한 곳에 보관하고, 웹사이트나 채팅창에 절대 입력하지 마세요. 80달러 정도 하는 하드웨어 지갑은 위에서 설명한 거의 모든 공격으로부터 사용자를 보호해 줍니다. 해커들이 찾는 곳에 복구 문구가 없기 때문입니다.
거래소 계정 잠금 설정
거래소에 보관하는 자금은 철저하게 보호하세요. 인증 앱을 사용하여 2단계 인증을 실시하고, SIM 스왑을 통해 쉽게 탈취될 수 있는 SMS 인증 코드는 절대 사용하지 마세요. 출금 허용 주소 목록을 설정하여 미리 승인한 지갑으로만 자금이 출금되도록 하세요. 다른 곳에서는 사용할 수 없는 고유하고 긴 비밀번호를 사용하세요. 실제 거래소 웹사이트 주소를 북마크하고, 항상 해당 북마크를 통해서만 로그인하세요. 가짜 웹사이트에 비밀번호를 입력하는 것은 모든 자금을 잃는 가장 쉬운 방법이 아닙니다. 예상치 못한 "계정 확인" 이메일이나 문자는 의심스러운 것으로 간주하고, 확인될 때까지 그대로 두세요. 그리고 간단한 원칙을 기억하세요. 잃어도 괜찮은 금액 이상은 거래소에 보관하지 마세요.
더 안전한 암호화폐 거래소 선택하기
모든 거래소가 똑같은 위험을 안고 있는 것은 아니며, 살아남은 거래소들은 투자하기 전에 점검해 볼 만한 공통적인 특징을 가지고 있습니다. 신뢰할 수 있는 플랫폼은 대부분의 디지털 자산을 콜드 스토리지에 보관하고, 코인의 존재를 확인할 수 있도록 준비금 증명을 공개하며, 비상 상황에 대비한 보험 기금을 운영합니다. 예를 들어, 바이낸스는 고객 안전을 위해 10억 달러 규모의 SAFU(최근 15,000 BTC로 전환)를 보유하고 있습니다.
| 녹색 깃발 | 위험 신호 |
|---|---|
| 대부분의 자산은 냉장 보관됩니다. | 보안 관련 정보가 모호하거나 전혀 공개되지 않았습니다. |
| 공개적인 외환보유고 증명 | 보험이나 적립금 없음 |
| 앱 기반 2단계 인증, 출금 허용 목록 | SMS 전용 로그인, 출금 제어 기능 없음 |
| 규제 준수, 감사 완료, 오랜 실적 보유 | 익명의 팀, 천문학적인 "수익률" |
관할권 또한 중요합니다. 실질적인 금융 감독 체계를 갖춘 국가에 등록 및 허가된 거래소는 편법을 사용할 경우 잃을 것이 더 많으며, 문제가 발생했을 때 최소한 법적 근거를 확보할 수 있습니다. 특정 지역이나 소속을 알 수 없는 익명의 팀이 운영하는 플랫폼은 이러한 장점을 전혀 제공하지 않으며, 바로 이러한 업체들이 나중에 먹튀 사기로 드러나는 경향이 있습니다. 또한, 보유 자산을 여러 거래소에 분산 투자하는 것도 고려해 볼 만합니다. 그래야 한 번의 보안 침해로 모든 자산을 잃는 것을 방지할 수 있습니다.
이 모든 것이 보장되는 것은 아닙니다. 바이빗은 공격을 받기 전까지 평판이 좋고 규제를 받는 중앙 집중식 거래소였으며, 바로 그 점이 중요합니다. 평판은 위험을 줄여줄 뿐, 완전히 없애주지는 않습니다. 하지만 이러한 신호들은 여러분에게 유리한 쪽으로 확률을 높여주며, 보안에 대해 논의를 거부하는 거래소는 무언가를 암시하고 있는 것입니다.
암호화폐 거래소 보안의 미래
방어 체계는 서서히 따라잡고 있습니다. 거래소들은 키를 분산시켜 단일 기기에 키가 저장되지 않도록 하는 MPC 지갑, 하드웨어 서명, 온체인 구성 요소에 대한 스마트 계약 감사, 그리고 승인 전에 거래를 시뮬레이션하는 소프트웨어 도입을 추진하고 있습니다. 이 모든 것이 보안 침해 위험을 줄이는 데 도움이 됩니다. 하지만 이러한 노력에도 불구하고 가장 취약한 고리, 즉 속거나 매수될 수 있는 사람은 여전히 존재합니다. 이러한 상황이 바뀌기 전까지는 암호화폐 거래소 해킹에 대해 가장 안전한 가정은 어떤 거래소든 다음 공격 대상이 될 수 있다는 것이며, 가장 현명한 방법은 해킹당한 거래소가 접근할 수 없는 곳에 대부분의 암호화폐를 보관하는 것입니다.
