블록체인 보안 전문 기업인 CertiK가 최근 발표한 여러 분석에 따르면, 크립토 공격은 오늘날 블록체인 산업이 복잡하고 위험한 단계로 진입하고 있다는 가장 뚜렷한 신호 중 하나다.
실제로 2026년 한 해에만 해킹, 익스플로잇, 디지털 사기를 통해 이미 6억 달러 이상이 탈취된 것으로 추정된다. 이는 시장 성장에 항상 적절한 수준의 보호 표준이 동반되는 것은 아니라는 점을 보여주는 중요한 수치다.
Summary
CertiK의 경고: 새로운 크립토 공격은 인적 오류, 공급망, 크로스체인 취약점을 노린다
CertiK의 시니어 블록체인 조사관인 내털리 뉴슨(Natalie Newson)에 따르면, 2026년에 가장 큰 영향을 미치는 크립토 공격은 기존의 프로토콜 기술적 취약성 때문만이 아니라, 보다 진화된 도구들에 의해 발생하고 있으며 앞으로도 그럴 것이라고 한다.
이 가운데 특히 강조되는 것은 고급 피싱, 실시간 딥페이크, 공급망(supply chain) 침해, 크로스체인(cross-chain) 시스템의 익스플로잇, 그리고 AI 가 지원하는 소셜 엔지니어링 캠페인이다.
이는 패러다임의 변화가 결코 가볍지 않다는 점을 보여준다. 과거에는 많은 공격이 코드 오류나 충분히 테스트되지 않은 스마트 컨트랙트에 의존했다. 반면 오늘날 주요 표적은 직원, 개발자, 리테일 사용자, 내부 운영자 등 ‘개인’ 그 자체가 되고 있다.
또한 앞서 언급한 변화는 전체 테크 산업, 특히 크립토 분야 전반에 영향을 미친다. 잘못된 트랜잭션이나 노출된 개인 키는 대개 되돌릴 수 없는 작업이기 때문이다.
구체적으로 CertiK가 언급한 사례 가운데, 4월에 발생한 두 건의 매우 큰 사건이 눈에 띈다. 하나는 Kelp DAO로, 2억 9,300만 달러 규모의 익스플로잇이었으며, LayerZero 크로스체인 메시징 인프라의 한 임계 지점과 연관되어 있다.
또 다른 하나는 약 2억 8,000만 달러 손실을 초래한 Drift Protocol이다. 이 두 사례는 프로토콜 간 상호 연결성이라는 핵심 문제를 잘 보여준다. 즉, 디파이(DeFi) 가 성장하며 다양한 서비스를 연결할수록 공격 표면도 함께 커진다는 의미다.
따라서 브리지, 오라클, 메시징 시스템, 외부 서비스 제공자 중 어느 하나라도 전체 생태계의 약점이 될 수 있다. 이는 과거 수십억 달러의 피해를 야기한 다른 크로스체인 익스플로잇에서도 이미 확인된 문제다.
공급망: 업계의 진짜 아킬레스건
또한 CertiK가 언급한 가장 중요한 데이터 중 하나는 2025년에 관한 것이다. 이 해에 해커들은 총 33억 달러를 탈취한 것으로 추정된다.
회사에 따르면, 가장 파괴적인 위협은 공급망(supply chain) 관련 공격으로, 단 두 건의 사건에서만 14억 5,000만 달러의 손실이 발생했다.
주요 사례는 Bybit이 당한 공격으로, 약 14억 달러의 피해를 초래한 것으로 알려져 있다. 특히 이러한 사건은 구조적인 문제를 확대해서 보여주는 역할을 한다.
즉, 예를 들어 주요 거래소나 지갑이 안전하더라도, 외부 공급자가 취약한 상태로 남아 있다면 충분하지 않다는 것이다. 실제로 오늘날 많은 크립토 기업은 커스터디, 클라우드, KYC, 애널리틱스, API 인프라, 소프트웨어 개발 등에서 서드파티 서비스에 의존하고 있다. 다시 말해, 사슬의 어느 한 약한 고리라도 전체 체인을 위험에 빠뜨릴 수 있다.
이어 보고서에서 가장 우려스러운 부분 중 하나는 해커들이 인공지능을 활용하는 방식에 관한 것이다. 이와 관련해 음성 딥페이크와 영상이 점점 더 현실적이고 정교해지고 있다는 점이 지적된다.
구체적으로, 이러한 기술은 기업 임원인 척 가장하거나, 신원 확인 절차를 우회하고, 직원들을 설득해 자금을 이체하게 만들고, 제한된 접근 권한을 얻거나, 리테일 투자자를 조종하는 데 사용될 수 있다.
뿐만 아니라, 최근에는 합성 얼굴과 음성 변조를 통해 KYC 심사를 우회하도록 설계된 도구들이 온라인에서 판매되는 사례도 드러났다. 안타깝게도 이러한 상황은 크립토 업계에만 국한된 문제는 아니다. 그러나 디지털 자산 분야에서는 그 영향이 즉각적이고 파괴적일 수 있다.
크립토 공격으로부터 실제로 어떻게 방어할 수 있을까?
그럼에도 불구하고, CertiK가 그린 전체 그림 속에서 기본적인 보안 수칙은 여전히 결정적인 역할을 한다. 많은 사용자가 몇 가지 간단한 대응만으로도 피할 수 있는 사기에 계속해서 속고 있기 때문이다. 예를 들어 항상 URL과 공식 사이트를 확인하고, 서명 전에 스마트 컨트랙트를 검토하며, 자주 사용하지 않는 자금은 콜드 월렛에 보관하는 식이다.
또한 항상 2단계 인증을 활성화하고, 소셜이나 텔레그램으로 받은 링크는 피하며, 자산을 여러 지갑에 분산해 두는 것이 권장된다.
이러한 환경에서, 사기에 사용되는 것과 동일한 인공지능이 강력한 방어 수단이 될 수도 있다. 실제로 점점 더 많은 기업이 AI를 활용해 스마트 컨트랙트를 실시간 분석하고, 이상 행동을 탐지하며, 의심스러운 접근을 차단하고, 버그 바운티 프로그램을 개선하고, 보안 감사 속도를 높이고 있다.
향후 몇 년 안에 공격형 AI와 방어형 AI 간의 진정한 경쟁이 벌어질 가능성이 크다고 여겨진다. 그리고 이는 투자자 신뢰에 직접적인 영향을 미칠 수 있다.
어쨌든 이러한 문제를 부분적으로라도 완화하기 위해, 미국 재무부는 이미 사이버 모니터링 프로그램을 디지털 자산 기업까지 확대하겠다고 발표했다. 이는 이제 크립토 보안이 더 이상 단순히 블록체인 부문만의 이슈가 아니라, 시스템 전반의 문제로 인식되고 있기 때문이다.
따라서 거래소, 디파이 프로토콜, 커스터디 업체들은 머지않아 더 빈번하고 엄격한 점검, 감사 의무, 최소 사이버보안 기준, 사용자에 대한 더 큰 책임을 요구받게 될 수 있다.
그러나 보고서에서 드러난 핵심 문제는 시장이 여전히 방어 체계보다 더 빠르게 성장하고 있다는 점이다.
혁신의 속도는 빠르지만, 거버넌스, 내부 절차, 리스크 문화는 종종 뒤처진다. 따라서 업계가 보안을 부가 비용이 아닌 전략적 투자로 인식하지 않는 한, 익스플로잇과 사기는 계속해서 이 생태계의 일부로 남을 것이다.
