암호화폐는 해킹될 수 있을까요? 블록체인, 지갑 및 해킹
그렇다면 암호화폐는 해킹될 수 있을까요? 어느 정도는 가능하지만, 완전히 불가능한 것도 아닙니다. 자세히 설명해 드리겠습니다.
블록체인 원장 자체, 즉 블록체인 네트워크가 확인하는 실제 체인은 17년 동안 단 한 번도 해킹당한 적이 없습니다. 암호화폐 해킹에 대한 대형 뉴스 기사들을 보셨나요? 모두 다른 곳에서 일어난 일입니다. 거래소, 브리지, 스마트 계약, 누군가의 지갑 앱 등 안전한 부분과 위험한 부분이 화면에 나란히 놓여 있지만, 대부분의 사람들은 돈을 잃기 전까지는 그 차이를 구분하지 못합니다.
2025년은 많은 사람들에게 개인적인 문제로 다가왔습니다. 블록체인 기술 위험에 대한 Chainalysis의 12월 업데이트에 따르면, 작년 한 해 동안에만 암호화폐 서비스에서 공격자들이 34억 달러에 달하는 자금을 탈취했습니다. CertiK는 630건의 개별 사건에서 33억 5천만 달러의 피해를 집계했고, TRM Labs는 28억 7천만 달러로 추산했습니다. 세 회사 모두 세 가지 방법론을 사용했지만, 결과는 동일했습니다. 사상 최악의 한 해였습니다. 그리고 이러한 피해 중 대부분은 블록체인 자체에는 영향을 미치지 않았습니다.
절도가 실제로 발생하는 곳, 여러분이 실제로 직면하는 위험, 그리고 이에 대해 취할 수 있는 조치에 대해 자세히 설명해 드리겠습니다.
암호화폐는 해킹될 수 있을까요? 먼저 직접적인 답변부터 드리겠습니다.
그렇다면 암호화폐는 의미 있는 방식으로 해킹될 수 있을까요? 암호화폐 자체는 분명히 도난당할 수 있습니다. 하지만 암호화폐를 저장하는 블록체인 원장은 거의 도난당하지 않습니다.
말장난처럼 들리지만, 사실은 그렇지 않습니다. 사람들이 "비트코인이 해킹당했다"라고 말할 때는 보통 세 가지 중 하나를 의미합니다. 거래소에서 누군가의 코인이 도난당했거나, 지갑 개인 키가 유출되었거나, 블록체인 위에 실행되는 스마트 계약에서 자금이 유출된 것입니다. 이러한 공격은 비트코인이나 이더리움 자체에 대한 공격이 아닙니다. 두 블록체인 모두 기본 레이어의 합의 규칙이 깨진 적이 없으며, 수십억 달러에 달하는 실제 가치가 존재하는 상태에서 10년 이상 안정적으로 운영되어 왔습니다. "해킹 불가능한 블록체인"이라는 말은 절반만 맞는 말입니다. 블록체인 자체는 안전하고 방어력이 강하지만, 그 주변 표면에는 수많은 공격 대상이 존재합니다.
이러한 차이점을 명확히 이해하는 것이 방어에 대한 사고방식을 바꿔놓을 것입니다. 만약 체인 자체가 약한 고리라면, 그 무엇도 당신을 구할 수 없을 것입니다. 하지만 약한 고리는 체인 위에 덧붙여진 요소들(보관, 키 관리, 사용자 행동, 스마트 계약 코드)에 있기 때문에, 실제로 대부분의 요소에 대해 당신이 개입할 수 있습니다.
블록체인 보안 및 거래 작동 방식 이해하기
블록체인이 어떻게 무너질 수 있는지 살펴보기 전에, 먼저 블록체인을 지탱하는 기본 원리를 간략하게 설명드리겠습니다. 블록체인 보안은 서로 겹치는 세 가지 메커니즘으로 요약되는데, 대부분의 사람들은 그중 하나만 알고 나머지 두 가지는 간과합니다.
암호화와 암호학부터 시작해 보겠습니다. 모든 블록체인 거래는 개인 키로 서명되고, 해당 공개 키로 검증됩니다. 키를 해독하려면 256비트 숫자를 무차별 대입해야 합니다. 이러한 숫자는 "우주의 열역학적 종말보다 더 긴 시간"을 의미하며, 우리가 현재 만들 수 있는 어떤 고전 컴퓨터로도 해독이 불가능합니다. 비트코인과 같은 블록체인은 모든 거래 서명을 이러한 방식으로 암호화합니다. 사토시는 2008년에 키 암호화 방식으로 ECDSA를 선택했고, 그 이후로 지금까지 안전하게 사용되어 왔습니다.
그다음은 해싱입니다. 각 암호화폐 거래 블록은 SHA-256과 같은 알고리즘을 거칩니다. 모든 새로운 블록에는 이전 블록의 해시값이 포함됩니다. 기록 어딘가에 묻혀 있는 단 하나의 거래라도 변경되면 그 이후의 모든 해시값이 깨지게 됩니다. 이것이 바로 블록체인을 불변이라고 부르는 이유입니다. 아무도 수정하고 싶어 하지 않아서가 아니라, 전체 체인에 심각한 영향을 미치지 않고는 수정할 수 없기 때문입니다.
세 번째 핵심이자 사람들이 가장 오해하는 부분은 바로 합의입니다. 블록체인 네트워크 상에 수천 개의 독립적인 노드가 모두 동일한 규칙을 따르고 서로를 검증하는 모습을 상상해 보세요. 관리자 계정도 없고, 일시 중지 버튼도 없으며, 누구도 습격할 수 있는 본사도 없습니다. 역사를 바꾸려면 정직한 다수보다 더 많은 연산 능력이나 지분을 확보해야 합니다. 사람들이 블록체인이 신뢰를 분산시킨다고 말하는 것은 바로 이러한 의미입니다. 분산된 블록체인 네트워크에서는 뇌물을 주거나, 소환장을 발부하거나, 오프라인에서 DDoS 공격을 가할 수 있는 단일 주체가 존재하지 않습니다.
이 세 가지를 종합해 보면 상당히 놀라운 사실이 드러납니다. 블록체인에 의해 확인된 거래는 기본적으로 영구적이며, 암호화 기술과 합의 메커니즘을 통해 중앙은행의 필요성을 없애고 은행 없이도 거래가 가능해집니다. 이것이 바로 보안의 핵심입니다. 안전하지 않은 부분은 블록체인 위에 존재하는 모든 사람, 모든 거래소, 모든 지갑 앱, 모든 스마트 계약입니다.
비트코인이 해킹당한 적이 있나요? 기본 구조는 여전히 안전합니다.
간략한 버전이요? 아니요.
비트코인의 레이어 1은 17년 동안 단 한 번도 공격에 성공한 적이 없습니다. 버그요? 네, 수정되었습니다. 복잡한 포크요? 많습니다. 블록 크기를 둘러싼 트위터의 끝없는 논쟁요? 물론이죠. 하지만 핵심 원장은 한 번도 재작성된 적이 없습니다. 모든 새로운 거래는 2009년 1월 첫 번째 블록이 생성된 이후 비트코인 블록체인을 보호해 온 동일한 규칙을 통과한 후에만 블록체인에 추가됩니다.
MIT의 디지털 통화 이니셔티브는 작업증명 네트워크에 대한 모든 알려진 51% 공격 기록을 보관하고 있습니다. 비트코인의 기록은 비어 있습니다. 이더리움 메인넷의 기록도 마찬가지입니다. 2016년의 유명한 DAO 해킹 사건은 어땠을까요? 그것은 이더리움 체인 자체가 아니라 이더리움에서 실행되는 단일 스마트 계약의 버그 때문이었습니다. 이 사건의 여파로 이더리움과 이더리움 클래식은 오늘날 어떻게 대처해야 할지 합의하지 못하는 두 개의 네트워크로 존재하게 되었습니다.
이제 경제적인 측면을 살펴보겠습니다. 이는 수학적 계산보다 훨씬 더 설득력이 있습니다. 암호화폐 뉴스 매체들은 2024년에 비트코인 51% 공격에 드는 비용을 계산해 봤는데, 대략 60억 달러에 달할 것으로 추산했습니다. 하드웨어, 전기, 코로케이션 비용 등 모든 것을 포함한 금액입니다. 그 후에는 어떻게 될까요? 공격이 성공하는 순간 비트코인 가격은 폭락할 것입니다. 훔친 비트코인은 순식간에 가치가 떨어질 것이고, ASIC 채굴기는 난방기 신세가 될 것입니다. 공격자들은 일부러 비싸게 사서 싸게 팔기 때문에, 돈을 잃는 가장 비싼 방법 중 하나가 될 것입니다.
그러니까 진짜 중요한 일은 절대 아래에서 벌어지는 게 아니에요. 항상 한 층 위에서 벌어지죠.
암호화폐가 실제로 도난당하는 곳
암호화폐 스택을 건물이라고 상상해 보세요. 블록체인은 기초이고, 그 위에는 스마트 계약, 브릿지, 거래소, 수탁기관이 있으며, 맨 위에는 지갑을 가진 사용자가 있습니다. 여러분이 접하는 거의 모든 해킹 사건은 이러한 상층부에서 발생합니다. 특히 제3자 웹사이트, 플러그인, 도구를 통해 조용히 사용자 자금에 대한 통제권을 확보하는 경우가 많습니다.
Chainalysis는 2024년 분석 자료를 통해 개인 키 유출만으로 전체 도난액의 43.8%를 차지할 것으로 예상했습니다. 스마트 컨트랙트 버그가 아닌 개인 키 유출 말입니다. 개인 지갑(거래소나 DeFi 제외) 관련 도난액은 2022년 7.3%에서 2025년 44%로 급증했습니다. TRM Labs는 2025년에는 손실액의 76%가 인프라 공격으로 인한 것이라고 밝혔습니다. 서명자 정보 유출, 클라우드 서비스 제공업체, 개발자 노트북, 지원 담당자를 대상으로 한 소셜 엔지니어링 등이 여기에 해당합니다. 스마트 컨트랙트 취약점 공격은 여전히 발생하고, 해커들은 새로운 프로토콜의 취약점을 악용하고 있습니다. 하지만 이제는 이러한 공격이 주된 원인은 아닙니다.
해커들은 흔히 돈의 흐름을 따라가며, 공격 대상도 변했습니다. 2021년부터 2023년까지는 DeFi가 시장을 주도했고, 2024년과 2025년에는 중앙 집중식 서비스와 개인 지갑이 그 자리를 차지했습니다. 이러한 패턴은 경제적인 이유에서 비롯되며, 지루할 정도로 간단합니다. 특정 기업의 서명권자 한 명이 해킹당하면 개인이 할 수 있는 것보다 훨씬 더 많은 돈을 움직일 수 있습니다. 따라서 오늘날 해커들의 주요 공격 대상은 일반 암호화폐 보유자가 아닙니다. 다른 사람의 암호화폐 소유권에 대한 권한을 쥐고 있는 엔지니어, 지원 직원, 개발자들이 바로 그들의 표적입니다.
지갑 공격: 개인 키 및 지갑 주소 사기
암호화폐 지갑은 실제로 코인을 보관하지 않습니다. 블록체인 상에서 코인을 이동시키는 데 필요한 개인 키를 보관합니다. 키를 잃어버리면 코인도 잃어버리고, 키가 유출되면 다른 사람이 코인을 가져갈 수 있습니다. 이것이 암호화폐 지갑의 기본 모델입니다.
지갑은 크게 두 가지 유형으로 나뉩니다. 핫 월렛은 인터넷에 연결된 기기에 저장되는 지갑으로, 스마트폰 앱, 브라우저 확장 프로그램, 거래소 잔액 관리 등에 사용됩니다. 핫 월렛은 편리하지만, 기기에 악성코드가 있거나 브라우저가 해킹당하면 해커가 접근하여 지갑의 자금을 빼돌릴 수 있다는 점에서 취약합니다. 콜드 월렛은 하드웨어 월렛이나 에어갭(air-gapped) 환경을 포함하며, 개인 키를 오프라인에 저장합니다. 콜드 월렛에서는 개인 키가 인터넷에 전혀 노출되지 않는 칩 내부에 저장됩니다. 콜드 월렛은 해킹 위험이 훨씬 낮기 때문에 대부분의 투자자들은 당장 거래할 계획이 없는 자산을 보관할 때 사용합니다.
지갑 주소 함정은 완전히 별개의 범주입니다. "주소 포이즈닝(Address Poisoning)"이란 공격자가 사용자가 평소에 송금하는 주소와 거의 똑같이 생긴 지갑 주소로 아주 작은 거래를 보내는 것을 말합니다. 처음 네 글자와 마지막 네 글자가 같고, 중간 글자만 다릅니다. 나중에 사용자가 자신의 거래 내역을 복사할 때 실수로 포이즈닝된 주소를 붙여넣게 되는 것입니다. 카네기 멜론 대학교 연구진은 공개 블록체인에서 이러한 시도가 2억 7천만 건에 달하며, 확인된 손실액은 약 8,380만 달러에 이른다고 밝혔습니다. 2025년 12월에는 한 거래자가 이러한 주소 포이즈닝 공격으로 5천만 달러 상당의 USDT를 손실하기도 했습니다.
여기서 불편한 점은 블록체인이 설계된 대로 정확하게 작동했다는 것입니다. 거래는 확인되었고, 보안 침해도, 취약점도, 버그도 없었습니다. 사용자가 단순히 잘못된 문자열을 붙여넣었을 뿐입니다.
거래소 해킹 및 2024-2025년 최대 암호화폐 해킹 사건
암호화폐 거래소는 업계 대부분의 수탁 자산이 보관되는 곳이며, 주요 공격 대상이기도 합니다. 지난 2년간 발생한 대규모 암호화폐 해킹 사건들은 명확한 패턴을 보였습니다. 공격자들은 코드가 아닌 키를 노렸습니다.
| 사건 | 날짜 | 양 | 공격 벡터 |
|---|---|---|---|
| 바이빗 | 2025년 2월 21일 | 14억~15억 달러 | Safe{Wallet} 개발자 정보 유출, 라자루스 그룹 |
| DMM 비트코인 | 2024년 5월 31일 | 3억 5백만 달러 | 개인 키 탈취, 북한과 연관 |
| 플레이댑 | 2024년 2월 9일~12일 | 2억 9천만 달러 | 2단계 민트 익스플로잇 |
| 드리프트 프로토콜 | 2026년 4월 1일 | 2억 8500만 달러 | 북한과 연관된 솔라나 디파이 |
| 와지르엑스 | 2024년 7월 18일 | 2억 3490만 달러 | 다중 서명 지갑 익스플로잇, Lazarus Group |
| 세투스(수이) | 2025년 5월 22일 | 2억 2300만 달러 | 스마트 계약 결함 (부분 복구됨) |
| 밸런서 V2 | 2025년 11월 3일 | 1억 2800만 달러 | 멀티체인 풀 익스플로잇 |
| 노비텍스(이란) | 2025년 6월 18일 | 8천만~9천만 달러 | 해킹 활동가, 자금이 불에 탄 것으로 알려짐 |
| 래디언트 캐피털 | 2024년 10월 16일 | 5천만 달러 | 개발자용 하드웨어 지갑에 악성코드가 있습니다. |
| GMX V1 | 2025년 7월 9일 | 4200만 달러 | 재진입 (500만 달러 현상금으로 복귀) |
바이빗(Bybit) 해킹 사건으로 발생한 피해액을 다시 한번 살펴보세요. 단 한 번의 해킹으로 14억 달러라는 엄청난 금액이 날아갔습니다. 이는 2025년에 발생할 모든 소매업체 대상 피싱 공격의 피해액을 합친 것보다 더 큰 액수입니다. FBI의 IC3 공익 광고에 따르면, 공격자들은 바이빗이 사용하는 다중 서명 인프라인 Safe{Wallet}의 개발자 컴퓨터에 침입했습니다. 그리고 악성 코드를 삽입했죠. 서명자들은 정상적인 거래처럼 보이는 것을 보고 승인 버튼을 눌렀고, 그 순간 401,347 ETH가 사라졌습니다.
자, 이제 좀 조용한 부분입니다. 미국 규제를 받는 주요 금융기관들은 2024년과 2025년에 묘한 승리를 거두었습니다. 사건이 전혀 없었던 것은 아니지만, 실제 자금 횡령은 발생하지 않았습니다.
2025년 5월, 코인베이스가 해킹당했습니다. 공격자들은 TaskUs라는 업체 소속 지원 담당 직원들에게 뇌물을 주고 69,461명의 고객 데이터를 빼돌렸습니다. 그들은 2천만 달러를 요구했지만, 코인베이스는 이를 거부하고 기업공개(IPO)를 했습니다. 덕분에 단 한 명의 고객도 암호화폐를 잃지 않았습니다.
크라켄은 2025년 2월 내부자 소행으로 약 2,000개 계정(전체 사용자의 약 0.02%)이 피해를 입었다고 밝혔습니다. 바이낸스 역시 2025년 5월 유사한 소셜 엔지니어링 공격 시도를 성공적으로 막아낸 것으로 알려져 있습니다. 이러한 사례들 모두 고객 자산 도난으로 이어지지는 않았습니다. 이는 매우 의미 있는 실적이며, 암호화폐를 정기적으로 구매하는 경우 규제되고 보험이 잘 갖춰진 플랫폼을 이용해야 하는 중요한 이유 중 하나입니다.
스마트 계약, DeFi 및 브리지 해커 전술
스마트 계약은 코드입니다. 그게 전부입니다. 블록체인 상에서 실행되는 코드죠. 만약 코드에 버그가 있다면 누군가 그 코드를 삭제해도 블록체인은 아무 문제 없이 모든 거래를 승인합니다. 블록체인 입장에서는 계약이 지시대로 작동한 것이기 때문입니다. 아무런 부정행위도 감지되지 않는 거죠. 스마트 계약 해킹은 전형적인 해커들의 영역입니다. 재진입 버그, 잘못된 계산, 오라클 조작, 대출 프로토콜 내부에 숨겨진 논리 오류 등. 자세히 보면 기술적으로는 꽤 정교한 수법이지만, 우리가 목격했듯이 더 이상 대부분의 손실을 유발하는 원인은 아닙니다.
브리지는 그 자체로 복잡한 구조입니다. 대략적인 작동 방식을 설명하자면 다음과 같습니다. 이더리움에서 아비트럼으로 토큰을 이동하고 싶다고 가정해 보겠습니다. 브리지는 이더리움에 있는 토큰을 락업하고 아비트럼 쪽에서 "래핑된" 토큰 사본을 발행합니다. 즉, 브리지는 어딘가에 엄청난 양의 실제 토큰을 보유하고 있어야 하며, 이는 소수의 멀티시그 서명자 또는 스마트 계약 로직에 의해 보호됩니다. 어느 한쪽이라도 해킹당하면 브리지는 텅 비게 됩니다. 체인링크의 연구에 따르면 누적 브리지 손실액은 약 28억 달러에 달합니다. 이는 웹3에서 해킹으로 발생한 손실액의 약 40%에 해당하는 금액입니다. 정말 심각한 문제입니다.
몇몇 브리지 해킹 사례는 전체 브리지 보안 범주에 큰 영향을 미쳤습니다. 로닌 브리지(Ronin Bridge), 2022년 3월: 공격자가 9명의 검증자 키 중 5개를 탈취하여 6억 2,500만 달러의 손실을 입었습니다. 폴리 네트워크(Poly Network), 2021년 8월: 크로스 컨트랙트 콜 버그로 6억 1,200만 달러의 손실을 입었지만, 암호화폐 역사상 가장 기이한 반전 중 하나로 해커가 대부분의 자금을 반환했습니다. 웜홀(Wormhole), 2022년 2월: 서명 검증 결함으로 3억 2,600만 달러의 손실을 입었습니다. 오르빗 체인( Orbit Chain), 2024년 1월 2일: 10명 중 7명이 서명한 멀티시그가 손상되어 8,100만 달러의 손실을 입었습니다. 이러한 사건들 이후 브리지 보안은 눈에 띄게 개선되었습니다. 하지만 근본적인 문제는 여전히 해결되지 않았습니다. 소수의 서명자가 관리하는 막대한 담보 자금은 시간과 의지만 있다면 누구든 노릴 수 있는 매력적인 요소로 남아 있습니다.
북한, 라자루스, 그리고 조직적인 암호화폐 범죄
이러한 사건 보고서에 계속해서 등장하는 적이 하나 있습니다. 바로 라자루스(Lazarus)입니다. 북한 정부와 연계된 팀들로, 대부분 라자루스 자체이지만 APT38, 블루노로프(BlueNoroff), 트레이더트레이터(TraderTraitor), 그리고 최근에 등장한 페이머스 촐리마(Famous Chollima) 팀도 포함됩니다. 이들은 자금력이 풍부하고 인내심이 강한, 국가 규모의 암호화폐 공격 전문 조직이라고 생각하면 됩니다.
수치는 참혹합니다. 2024년, 체이나리시스는 북한 해킹 조직이 저지른 것으로 추정되는 47건의 해킹 사건을 통해 13억 4천만 달러의 피해를 확인했습니다. 이는 그해 전체 해킹 피해액의 61%에 해당합니다. 2025년에는 그 피해액이 20억 2천만 달러로 급증하여 전년 대비 51% 증가했습니다. 2017년 이후 라자루스(Lazarus) 관련 누적 해킹 피해액은 이미 67억 5천만 달러를 넘어섰습니다. 북한 전역에서, 단 하나의 해킹 조직이 저지른 짓입니다.
그들이 실제로 하는 일은 무엇일까요? 똑같은 수법을 반복합니다. 암호화폐 엔지니어 또는 지원 스태프 계약직을 물색합니다. 링크드인이나 텔레그램을 통해 진짜처럼 보이는 구인 제안을 보냅니다. 악성코드를 몰래 설치하는 "코딩 과제"나 "지갑 앱"을 보냅니다. 계정 정보를 빼냅니다. 기다립니다. 그리고 몇 주 또는 몇 달에 걸쳐 지갑이나 거래소에서 자금을 빼냅니다. 자금이 빠져나가면 자금 세탁이 시작됩니다. 믹서, 크로스체인 스왑, 불법 활동의 흔적을 지우는 여러 단계의 거래소 등을 이용하는 것입니다.
2024년 10월, 래디언트 캐피털 사건은 전형적인 사례입니다. 전 계약자가 텔레그램으로 PDF 파일을 보냈는데, 실제 PDF 파일이 아니었습니다. 5천만 달러가 날아갔습니다. 여러 서명자가 각자의 컴퓨터에서 "문서"를 검토했기 때문에 모두 동시에 위험에 노출되었습니다.
이것을 암호화폐에 대한 공격이라고 부르는 것은 현재 상황을 제대로 파악하지 못한 것입니다. 이는 암호화폐 업계에 종사하는 개인들을 겨냥한 정보 수집 작전입니다. 백신 프로그램이 어느 정도 도움이 되긴 하지만, 경계심을 갖는 것이 훨씬 효과적입니다.
51% 공격 및 블록체인의 이론적 위험
51% 공격. 이 용어를 들어보셨을 겁니다. 실제로 무슨 뜻일까요?
한쪽 당사자가 네트워크 연산 능력(작업증명 방식) 또는 스테이킹된 코인(지분증명 방식)의 절반 이상을 확보하게 됩니다. 이렇게 다수 지분을 확보하면 최근 거래를 취소하거나 새로운 거래를 검열할 수 있습니다. 이는 전형적인 합의 공격 방식입니다. 실제로 이러한 공격은 소규모 블록체인에서만 발생했습니다.
비트코인 골드가 대표적인 사례입니다. 두 번의 실패를 겪었죠. 2018년 5월에는 약 1,800만 달러 상당의 자금이 이중 지출로 손실되었고, 2020년 1월에는 또다시 7만 달러가 손실되었습니다. 이더리움 클래식도 2020년 8월에 560만 달러의 이중 지출 오류가 발생했습니다. 왜 하필 이 블록체인들일까요? 바로 낮은 해시레이트 때문입니다. 몇만 달러만 있으면 주말 동안 채굴 자원을 임대해서 수익을 낼 수 있을 정도였죠.
비트코인은 완전히 다른 세상입니다. 해시레이트가 수천 배나 더 높죠. 이더리움 스테이킹 풀에는 수천만 ETH가 묶여 있습니다. 이론적으로 누군가 51% 공격을 할 수 있을까요? 물론 가능합니다. 하지만 그렇게 하는 게 경제적으로 이득이 될까요? 전혀 그렇지 않습니다. 훔친 코인 때문에 해당 자산의 가격이 폭락하고, 채굴 장비나 스테이킹 자산도 순식간에 가치를 잃게 되니까요.
다른 이론적인 위협이요? 물론 존재합니다. 작업증명(PoW) 방식의 이기적 채굴, 지분증명(PoS) 방식의 장거리 공격, 초기 PoS 설계 방식의 무위험 채굴 등이 있죠. 하지만 이러한 위협들은 상위 20위권 블록체인에 실질적인 타격을 주지 못했습니다. 따라서 누군가 "비트코인은 해킹 불가능하다"라고 말할 때, 바로 이런 점을 의미하는 겁니다. 합의 계층은 해킹이 가능하지만, 그 위의 모든 계층은 해킹이 불가능하다는 뜻이죠.
양자 컴퓨팅은 향후 10년 동안 변수로 남아 있습니다. 비탈릭 부테린은 최근 암호 해독이 가능한 양자 컴퓨터가 2030년 이전에 등장할 확률을 약 20%로 추정했습니다. 블록스트림의 애덤 백은 수십 년 후의 일이라고 생각합니다. 전문가들 사이에서는 양자 컴퓨팅의 등장 시기를 대략 2029년에서 2035년 사이로 예상하고 있습니다.
누군가 준비하고 있나요? 네, 있습니다. 솔라나는 2025년 12월 테스트넷에서 최초로 레이어 1 양자 후 서명 테스트를 진행했습니다. 이더리움 재단은 양자 후 보안 마이그레이션 경로를 연구하는 전담 팀을 운영하고 있습니다. 따라서 업계는 방심하지 않고 있습니다. 하지만 아직 끝난 것도 아닙니다. 양자 내성 기술이 아직 메인넷에 배포된 것은 없습니다.
피싱 및 일반적인 암호화폐 사기
씁쓸한 진실은 이렇습니다. 대부분의 손실은 정교한 해킹 공격 때문이 아닙니다. 누군가가 악성 링크를 클릭하거나, 잘못된 거래에 서명하거나, 누군가의 지시에 따라 일부러 잘못된 주소로 코인을 보내는 등의 사소한 실수에서 비롯됩니다. FBI의 2024년 IC3 보고서에 따르면 암호화폐 관련 피해 신고는 14만 건이 넘었고, 손실액은 93억 달러에 달했습니다. 이는 2023년 대비 66% 증가한 수치입니다. 특히 60세 이상 미국인들은 3만 3천 건의 신고를 통해 28억 달러의 손실을 입었습니다.
돼지 도축 사업만 해도 58억 달러에 달합니다. 이런 사기 수법들은 장기전에 기반한 수법입니다. 데이트 앱이나 왓츠앱, 텔레그램 같은 곳에서 누군가 당신에게 메시지를 보냅니다. 처음에는 친절하게 대하지만, 실제로 연애에는 별 관심이 없어 보입니다. 몇 주 후, "훌륭한 거래 플랫폼"에서 돈을 벌었다며 당신도 한번 해보겠냐고 묻습니다. 소액을 입금하면 수익이 발생한 것처럼 보입니다. 그래서 더 많은 금액을 입금합니다. 결국 출금을 시도하면 플랫폼에서 세금을 먼저 요구하고, 또 다른 수수료를 요구합니다. 그러고 나면 그 사람은 사라져 버립니다.
나머지 항목으로는 지갑을 털어가는 피싱(악의적인 승인에 서명하도록 유도하는 가짜 사이트), 가짜 에어드롭, 텔레그램 관리자 사칭, 그리고 SMS 2FA 코드를 훔치는 SIM 스왑 공격 등이 있습니다.
작은 희소식 하나. 지갑 탈취 피싱으로 인한 손실액이 2025년에는 약 8,385만 달러로, 2024년의 약 4억 9,400만 달러에서 83% 감소할 것으로 예상됩니다(Scam Sniffer 데이터). 왜 그럴까요? 지갑 사용자 인터페이스가 실제로 개선되었기 때문입니다. 이제 대부분의 지갑은 서명이 무제한 토큰 사용을 승인할 경우 경고 메시지를 표시합니다. 하지만 피해자 수는 여전히 엄청납니다.
사기꾼들의 수법은 소비자 교육보다 훨씬 빠르게 변화합니다. 따라서 사기 수법을 암기하지 마세요. 패턴을 파악하세요. 모르는 사람이 암호화폐 거래에 대해 이야기하면 사회공학적 수법일 가능성이 높으니 주의하세요. 지갑에서 설명할 수 없는 내용을 승인하라는 메시지가 뜨면 거부하세요. 텔레그램 관리자라고 주장하며 도움을 주겠다고 DM을 보낸다면, 그 사람은 실제 관리자가 아닐 가능성이 큽니다.
암호화폐 보안: 효과적인 모범 사례
암호화폐를 안전하게 보호하는 것은 복잡하지 않습니다. 단지 습관을 들이면 됩니다. 여기 일반 사용자가 소량 이상의 암호화폐를 보유할 경우 공격 표면을 최소화할 수 있는 몇 가지 보안 조치 및 모범 사례를 간략하게 정리했습니다. 대부분의 잠재적 위협과 위험은 이러한 보안 관행을 피해 우회합니다. 각 단계에 맞는 안전한 방법을 따르면 공격 표면이 빠르게 줄어듭니다. 이 보안 수칙들을 따르면 실제 공격의 대부분으로부터 암호화폐를 보호할 수 있습니다.
| 층 | 관행 | 왜 중요한가 |
|---|---|---|
| 저장 | 수백 달러 이상의 금액은 하드웨어 지갑에 보관하고, 일반 소비는 핫월렛을 이용하세요. | 오프라인 키는 가장 흔한 도난 경로를 차단합니다. |
| 지원 | 핵심 문구를 종이나 금속에 적어 두세요. 절대로 사진, 스크린샷, 이메일 또는 클라우드에 저장하지 마세요. | 클라우드에 백업된 씨앗 데이터는 악성 소프트웨어에 의해 정기적으로 탈취됩니다. |
| 교환 | 엄격한 규제를 준수하고 깨끗한 이력을 가진 거래소를 선호하며, 2단계 인증(2FA)이 철저히 시행되는 평판 좋은 거래소를 이용하십시오. | 평판이 좋은 장소는 법적 책임 제도가 잘 갖춰져 있고 내부 통제 시스템도 더 잘 되어 있습니다. |
| 2FA | SMS 대신 인증 앱이나 하드웨어 키를 사용하세요. | SIM 스왑 공격은 전화번호 기반 2단계 인증을 표적으로 삼습니다. |
| 승인 | 각 서명 안내 메시지를 검토하고, Revoke.cash 또는 유사한 도구를 사용하여 이전 토큰 허용량을 취소하십시오. | 지갑을 털어가는 사기꾼들은 대부분 사용자가 무제한 승인에 서명하도록 유도합니다. |
| 업무 | 수신자 주소의 처음과 마지막 네 글자만 확인하지 말고 전체 주소를 확인하십시오. | 주소 조작 함정을 무력화합니다 |
| 위생 | 고가의 암호화폐 거래에는 전용 브라우저나 컴퓨터를 사용하세요. | 일반 웹 브라우징 중 악성코드 노출을 줄여줍니다. |
| 의식 | 암호화폐 관련 DM은 모두 피싱으로 간주하고, 그렇지 않다는 것이 증명될 때까지 주의하세요. | 라자루스 스타일 운영자는 특히 암호화폐 전문가를 표적으로 삼습니다. |
하드웨어 지갑에서 암호화폐를 안전하게 보호하는 방법
하드웨어 지갑에 대한 두 가지 주의사항입니다. Ledger는 2020년 12월 데이터 유출 사고로 27만 명의 고객 집 주소가 유출되는 피해를 입었습니다. 이는 하드웨어 지갑 회사조차도 데이터 유출의 표적이 될 수 있음을 보여주는 사례입니다(물론 자금 유출은 아니지만). 2026년 1월에는 전자상거래 파트너인 Global-e를 통해 또 다른 데이터 유출 사고가 발생했지만, 이 역시 시드 펀드나 자금이 아닌 연락처 정보가 노출되었습니다. 따라서 키는 여전히 기기에 보관하는 것이 가장 안전하며, 안타깝게도 우편 주소는 그렇지 않습니다.
일부 트레이더들은 콜드 월렛이 해킹될 수 있는지 묻습니다. 솔직히 말씀드리면, 제대로 관리되고, 올바르게 백업된 시드 구문을 사용하는 콜드 월렛은 장기적으로 암호화폐를 보유하려는 개인에게 가장 강력한 보안 수단입니다. 해킹 실패 원인은 대부분 사람의 실수에서 비롯됩니다. 예를 들어, 시드 구문 사진 유출, 사용자를 속여 시드 구문을 입력하게 만드는 피싱 사이트, 채팅을 통해 공유되는 민감한 정보, 또는 중고 시장에서 누군가가 미리 초기화해 놓은 "하드웨어 월렛"을 구매하는 경우 등이 있습니다. 반드시 제조사에서 직접 구매하십시오. 이것이 모든 사람이 갖춰야 할 기본적인 강력한 보안 태세입니다.
해킹을 당했을 때: 정보 유출, 복구 및 하지 말아야 할 일
지갑이 해킹당한 것 같나요? 즉시 조치를 취하세요. 첫째, 피해를 최소화하세요. 안전한 기기에 새 지갑을 만들고, 기존 지갑에 남아있는 자산을 새 지갑으로 옮긴 후, 해킹범보다 먼저 남은 자산을 모두 확보하세요. 둘째, Revoke.cash 또는 유사한 도구를 사용하여 지금까지 승인했던 모든 토큰을 취소하세요. 셋째, 모든 증거를 확보하세요. 거래 해시, 타임스탬프, 의심스러운 채팅, 이메일, URL 등의 스크린샷 등 모든 기록을 남겨두세요. 다른 어떤 조치보다 먼저 이 작업을 수행해야 합니다.
이제 아무도 듣고 싶어 하지 않는 부분, 바로 복구에 대해 이야기해 보겠습니다. 일반적인 개인 절도 사건의 경우, 도난당한 암호화폐 중 10% 미만만이 회수됩니다. 블록체인의 투명성 덕분에 수사관들은 믹서와 브리지를 통해 자금의 흐름을 추적할 수 있고, 이는 분명 좋은 점입니다. 하지만 추적이 곧 복구는 아닙니다. 언론에서 접할 수 있는 큰 성공 사례들(테더가 2023년에서 2025년 사이에 불법 USDT 32억 9천만 달러를 동결했는데, 이는 같은 기간 서클이 동결한 금액의 약 30배에 달합니다. 영국은 2025년에 BTC 6만 1천 개를 압수했고, 세투스는 2억 2천 3백만 달러의 손실액 중 1억 6천 2백만 달러를 되찾았습니다)은 예외적인 사례이기 때문에 유명합니다. 이러한 성공은 스테이블코인 발행기관, 정부 또는 프로토콜이 거버넌스 레버리지를 적극적으로 활용하여 협력한 결과입니다.
절대 하지 말아야 할 일. 갑자기 DM을 보내는 "암호화폐 복구" 업체나 인스타그램 광고를 하는 업체, 또는 유명인들의 화려한 후기로 가득한 랜딩 페이지를 가진 업체는 절대 고용하지 마세요. 그런 업계 전체가 사기입니다. 진짜 복구는 시간이 오래 걸리고 지루하며, 법 집행 기관이 Chainalysis나 TRM 같은 업체의 도움을 받아 진행하는 경우가 대부분입니다. 게다가 복구를 보장하는 업체도 거의 없습니다. 만약 누군가 돈을 돌려준다고 한다면, 그 업체는 피하세요. 보고서를 제출하기도 전에 착수금을 요구한다면, 무조건 도망치세요.
미국에 거주하신다면 FBI 산하 IC3(또는 현지 기관)에 신고하시고, 자금이 거래소를 통해 이동했다면 해당 거래소에, 스테이블코인이 관련되어 있다면 스테이블코인 발행기관에 신고하세요. 발행기관 동결은 실제로 자금을 회수할 수 있는 효과적인 방법이 되었습니다. 체이나리시스(Chainalysis)에 따르면 스테이블코인은 현재 불법 암호화폐 거래량의 84%를 차지합니다. 바로 이 때문에 테더(Tether)의 동결 건수가 계속 증가하고 있는 것입니다.
