북한 해커에 뚫린 디파이…“탈중앙화 철학보다 ‘보안’이 먼저”

가상자산과 웹3 생태계를 겨냥한 해킹 공격이 끊이지 않으면서 산업 전반의 신뢰도가 흔들리고 있다.

특히 시스템의 코드를 직접 뚫는 대신 담당자를 속여 권한을 탈취하는 ‘소셜 엔지니어링’ 기법이 기승을 부리고 있으며 한 번 탈취된 자금의 회수율은 10% 밑으로 떨어져 투자자들의 불안이 극에 달한 상태다.

20일 웹3 보안 업계와 타이거 리서치에 따르면 올해 4월에만 크고 작은 웹3 해킹 이슈가 12건이나 보고됐다.

최근 폴카닷과 이더리움을 연결하는 브릿지 프로토콜 ‘하이퍼브릿지(Hyperbridge)’에서는 공격자가 위조 요청을 검증 없이 통과시키면서 이더리움 체인 위에 약 10억개의 브릿지드 DOT(폴카닷)가 무단 발행되는 사고가 발생했다. 초기 발표된 피해 규모는 약 250만달러였으나 피해액은 계속 불어나고 있다.

이에 앞서 대형 디파이(DeFi) 프로토콜인 ‘드리프트 프로토콜(Drift Protocol)’은 무려 약 2억 9570만 달러 규모의 해킹을 당했다.

조사 결과 북한 연계 해킹 조직인 라자루스 그룹 등이 6개월에 걸쳐 프로젝트 팀원들과 신뢰를 쌓은 뒤 거버넌스 권한을 탈취한 정교한 작전이었던 것으로 드러났다.

사태 수습을 위해 테더(Tether)가 1억2750만달러 규모의 지원 패키지를 긴급 제안했으나 총 피해액을 메우기엔 턱없이 부족한 실정이다.

◆ 북한 해킹 기승…뚫기 힘든 코드 대신 ‘사람’ 노린다

최근 웹3 해킹의 가장 큰 특징은 공격 경로의 변화다. 과거에는 스마트 컨트랙트 등 코드의 취약점을 파고들었다면 이제는 이미 권한을 가진 내부 ‘사람’을 해킹하는 방식이 절대다수를 차지한다.

실제 데이터에 따르면, 전체 해킹 피해액 중 소셜 엔지니어링이 차지하는 비중은 2021년 28.7%에서 꾸준히 증가해 2025년 64.3%, 2026년 1분기 기준으로는 무려 74.7%에 달했다.

이미 2025년 기준 전통 금융권 및 기업 해킹 사례의 70%가 소셜 엔지니어링이었던 점을 감안하면 전통적 범죄 수법이 웹3 산업으로 완전히 전이되었음을 보여준다.

◆ “가져가면 끝”…회수율 6%대로 추락

전통 금융과 웹3의 가장 큰 차이는 ‘사후 대처’에 있다. 전통 기업은 계좌 동결, 송금 취소 등 제도의 개입으로 실제 자금 탈취까지 이어지기 어렵다.

반면 웹3는 트랜잭션이 완료되는 순간 자금이 온체인으로 즉각 빠져나가며 되돌릴 수단이 전무하다.

이는 자금 회수율 데이터로 증명된다. 디파이라마(Defillama) 등에 따르면 2020~2021년 25~40% 수준이었던 해킹 자금 회수율은 2022~2023년 5~14%, 2024~2025년 8~13%로 급감했다.

2026년 현재 예상 회수율은 6%에 불과하다. 믹서와 크로스체인 브리지를 통한 해커들의 자금 세탁 기술이 극도로 고도화된 탓이다.

◆ 바이비트은 살고 디파이는 죽었다…기관 시대의 과제

이러한 상황 속에서 가상자산 업계는 양극화를 겪고 있다. 2025년 초 글로벌 가상자산 거래소 바이비트(Bybit)는 북한으로 추정되는 해킹 공격에 의해 약 15억달러 규모의 해킹을 당했지만 살아남았다.

벤 저우 바이비트 최고경영자(CEO)가 즉각 “고객 자산은 1대1로 보증되며, 회수하지 못해도 손실을 전액 덮을 수 있다”고 밝히며 자체 준비금(SAFU 펀드)과 거래소 간 공조로 투자자 피해를 막았기 때문이다.

하지만 디파이 프로젝트는 공격을 당해 준비된 자산 풀이 유출되는 순간 대응할 카드가 없다. 유일한 방법은 해커와의 협상이지만 북한 등 국가 주도 해커들에게 이는 통하지 않는다.

전문가들은 웹3 생태계가 다음 단계로 도약하기 위해서는 ‘기관 자금’의 유입이 필수적이나 현재의 보안 구조로는 어림없다고 입을 모은다.

블록체인의 효율성과 24시간 작동하는 시장은 매력적이지만 회수율 10% 미만의 위험천만한 시장에 자금을 넣을 기관은 없기 때문이다.

타이거리서치는 “기관 자본이 유입되기 위해서는 탈중앙화라는 이념적 철학보다 사고가 발생했을 때 책임지고 자산을 보호할 수 있는 명확한 구조와 운영 능력이 선행되어야 한다”고 지적했다.