AGP Picks
View all

CertiK Hack3D 보고서: 2026년 상반기 Web3 피해액 13억 달러 돌파… 실제 위험 수준 전년 동기 대비 증가

뉴욕, July 09, 2026 (GLOBE NEWSWIRE) -- 글로벌 최대 Web3 보안 기업 CertiK은 「Hack3D: 2026년 상반기 보고서」를 발표했다. 보고서에 따르면, 2026년 상반기 Web3 생태계에서는 총 344건의 보안 사고가 발생했으며, 누적 피해액은 약 13.2억 달러를 기록했다. 전체 피해 규모만 놓고 보면 지난해 같은 기간보다 46.8% 감소한 것으로 나타났지만, 2025년 상반기 발생한 Bybit의 14.5억 달러 규모 초대형 해킹 사고를 제외하면 올해 상반기 피해 규모는 오히려 전년 동기 대비 약 28% 증가한 것으로 분석됐다.

보고서는 단순한 피해액 감소를 보안 환경의 개선으로 해석하기는 어렵다고 지적했다. 사고 건수와 개별 공격의 파급력, 공격 방식의 변화 등을 종합적으로 고려하면, Web3 산업은 더욱 복잡하고 지속적으로 고도화되는 보안 위협에 직면하고 있다는 설명이다.

피해액 감소의 이면… 실제 위험은 오히려 확대

2025년 2월 발생한 Bybit 해킹 사건은 약 14.5억 달러의 피해를 발생시켰으며, 이는 당시 상반기 전체 피해액의 약 60%를 차지해 통계에 큰 영향을 미쳤다. 이 같은 예외적인 사고를 제외할 경우, 2025년 상반기 실제 피해액은 약 10.3억 달러였으며, 2026년 상반기에는 약 13.2억 달러를 기록했다. 또한 약 1.2억 달러의 자금이 동결되거나 회수된 점을 감안하더라도, 조정 후 실제 피해액은 약 12억 달러에 달한 것으로 집계됐다.

또한 시간의 흐름에 따라 공격 활동의 기준선 자체가 분기별로 높아지는 추세를 보이고 있다. 2026년 2분기 보안 사고는 전년 동기 145건에서 194건으로 34% 증가했으며, 단일 사고의 피해액 중앙값 역시 전년 동기 대비 60.6% 증가한 약 16.9만 달러를 기록했다. 이는 일상적으로 발생하는 중소 규모의 공격조차도 건당 피해 규모가 지속적으로 확대되고 있음을 보여준다.

지갑 보안, 최대 자금 손실 위험 요인으로 부상

지난 수년간 스마트 컨트랙트 취약점이 주요 보안 위협으로 꼽혀왔던 것과 달리, 2026년 상반기에는 지갑 탈취가 가장 큰 자금 손실을 초래한 공격 유형으로 나타났다. 보고서에 따르면, 상반기 동안 총 33건의 지갑 탈취 사건이 발생했으며, 누적 피해액은 약 4.5억 달러로 전체 피해액의 3분의 1 이상을 차지했다. 사건 수는 많지 않았지만, 건당 평균 피해액은 약 1,134만 달러에 달해 다른 공격 유형을 크게 웃돌았다. 이 가운데 4월 발생한 Drift Protocol 해킹 사건은 약 2.9억 달러의 피해를 기록하며 상반기 최대 규모 보안 사고 중 하나로 집계됐다. CertiK은 이러한 변화가 공격자들의 전략 변화와 맞물려 있다고 분석했다. 공격자들은 단순히 스마트 컨트랙트 취약점을 노리는 데서 벗어나, 개인키 관리 시스템, 멀티시그 지갑, 기관급 인프라를 주요 공격 대상으로 삼고 있으며, 소수의 고가치 공격을 통해 더 큰 경제적 이익을 노리고 있다는 것이다. 이에 따라 대규모 온체인 자산을 보유한 프로토콜과 기관에게는 개인키 관리, 멀티시그 아키텍처, 운영 환경 전반의 보안 체계가 가장 중요한 방어 수단으로 자리 잡고 있다고 보고서는 강조했다.

피싱 공격은 감소했지만, 피해 규모는 더욱 커져

예년과 비교해 피싱 공격의 발생 건수는 감소했지만, 공격의 파괴력은 오히려 크게 증가한 것으로 나타났다. 2026년 상반기 발생한 피싱 공격은 총 63건으로, 2025년 같은 기간보다 50% 이상 감소했다. 그러나 피해 규모는 약 10.8% 감소하는 데 그쳐, 누적 피해액은 여전히 약 3.7억 달러에 달했다.

CertiK Hack3D 보고서는 이러한 결과가 공격자들의 전략 변화에 따른 것이라고 분석했다. 과거에는 불특정 다수를 대상으로 한 대규모 피싱 공격이 주를 이뤘다면, 최근에는 고액 자산가와 기관 투자자, 대규모 온체인 자산을 보유한 조직을 집중적으로 노리는 방향으로 전략이 전환되고 있다는 것이다. 공격자들은 보다 정교한 사회공학 기법을 활용해 단일 공격당 수익을 극대화하고 있다. 실제로 보고서에 따르면, 사회공학 기반 공격은 단 4건에 불과했지만 약 3.1억 달러의 피해를 발생시켜 전체 피싱 피해액의 약 85%를 차지했다. 이 가운데 2026년 1월 발생한 크로스체인 사회공학 공격은 약 2.9억 달러의 피해를 기록하며 최근 수년간 발생한 가장 심각한 피싱 공격 사례 중 하나로 분석됐다.


장기간 운영된 레거시 코드, 새로운 공격 표적으로 부상

보고서는 장기간 운영돼 온 스마트 컨트랙트 코드가 새로운 공격 대상으로 떠오르고 있다는 점에도 주목했다. 2026년 상반기 코드 취약점으로 인한 보안 사고는 총 204건 발생했으며, 누적 피해액은 약 1.5억 달러를 기록했다. 이는 모든 공격 유형 가운데 가장 많은 사고 건수에 해당한다. 특히 2분기에는 코드 취약점 관련 사고가 1분기 78건에서 126건으로 크게 증가하며 뚜렷한 증가세를 보였다.

보고서는 최근 공격자들이 수년간 운영됐지만 재감사를 받지 않은 레거시 코드베이스를 적극적으로 노리고 있다고 분석했다. 자동화된 보안 분석 도구와 AI 기반 코드 분석 기술이 빠르게 발전하면서, 과거에는 발견하기 어려웠던 잠재적 취약점을 더욱 낮은 비용으로 찾아낼 수 있게 됐기 때문이다. 이러한 변화는 프로젝트의 출시가 곧 보안의 완성을 의미하지는 않는다는 점을 시사한다. 장기간 운영되는 프로토콜의 경우, 정기적인 보안 재감사는 이제 선택이 아닌 필수 요소로 자리 잡고 있다고 보고서는 강조했다.

초대형 해킹 사건, 여전히 업계 피해를 주도

개별 사고를 살펴보면, 2026년 상반기 발생한 두 건의 대형 보안 사고가 전체 업계 피해의 절반에 가까운 규모를 차지한 것으로 나타났다. 4월 발생한 Kelp DAO RPC 인프라 공격은 약 2.91억 달러, 같은 달 발생한 Drift Protocol 해킹은 약 2.85억 달러의 피해를 기록했다. 두 사건의 합산 피해액은 약 5.77억 달러로, 상반기 전체 피해액의 44%를 차지했다. CertiK은 업계 전체 피해 규모가 일부 초대형 사고의 영향을 크게 받는 것은 사실이지만, 더욱 주목해야 할 점은 고액 피해를 동반한 공격이 점차 빈번해지고 있다는 점이라고 분석했다. 과거와 비교해 공격자들은 더욱 정교하게 목표를 선정하고 있으며, 단일 공격으로 발생하는 경제적 피해 규모 역시 지속적으로 확대되고 있다. 보고서에 따르면 2026년 상반기에는 대규모 피해 사건의 비중이 과거 같은 기간보다 뚜렷하게 증가한 것으로 나타났다.

자금세탁 수법 고도화… 국가 연계 해킹 위협도 지속

보고서는 공격 자체뿐 아니라 공격 이후 탈취 자금의 이동 방식도 갈수록 복잡해지고 있다고 분석했다. 이미 자금세탁이 완료된 사례를 보면 Tornado Cash가 여전히 가장 많이 사용되는 익명화 도구였지만, 크로스체인 프로토콜을 활용한 자금 이동, 다중 경로 자금세탁, 복합적인 자금 이동 기법도 빠르게 증가하고 있는 것으로 나타났다. 특히 수억 달러 규모의 대형 해킹 사건에서는 기존 믹싱 서비스만으로는 자금세탁 수요를 충족하기 어려워지면서, 크로스체인 인프라가 새로운 자금세탁 경로로 활용되는 사례가 늘고 있다고 보고서는 설명했다.

한편 북한 연계 해커 조직은 여전히 Web3 생태계에서 가장 위협적인 공격 세력 가운데 하나로 평가됐다. CertiK Hack3D 보고서는 이들의 공격 방식이 기존의 취약점 악용을 넘어 공급망 공격, 개발 환경 침투, 사회공학 공격, 기관급 인프라 공격 등으로 빠르게 확장되고 있다고 분석했다. 또한 공격 대상 역시 거래 플랫폼, 멀티시그 관리 체계, 핵심 운영 인력 등으로 점차 집중되는 추세라고 덧붙였다.

보고서 전문보기: https://indd.adobe.com/view/87542d9e-0efd-408c-ad70-af209e8c1f97

Media contact
최영 Yeong Choi
ying.cui@certik.com


Primary Logo

Legal Disclaimer:

EIN Presswire provides this news content "as is" without warranty of any kind. We do not accept any responsibility or liability for the accuracy, content, images, videos, licenses, completeness, legality, or reliability of the information contained in this article. If you have any complaints or copyright issues related to this article, kindly contact the author above.

Share this page:

Advanced Search Options

Search for:

Search scope:

Type:

Search in:

Date range:

The last

Sort by:

Sign up for:

Honiara Industry Journal

The daily local news briefing you can trust. Every day. Subscribe now.

By signing up, you agree to our Terms & Conditions.