웹3 거래소와 프로젝트를 막론하고 해킹 사례가 매년 나타나고 있습니다. 전통 기업과 달리 웹3 프로젝트는 해킹을 당하면 무너지고 있습니다. 웹3 산업은 어떻게 대응해야 할까요?
Key Takeaways
2026년 4월, 벌써 웹3 해킹 이슈가 연이어 발생하고 있다. 4월 한 달에만 12건이 보고됐다.
특히 소셜 엔지니어링 비중은 매년 증가해 2026년 1분기 기준 전체 해킹 피해액의 74.7%를 차지한다. 코드보다 사람이 더 쉬운 공격 경로이기 때문이다.
2020년 이후 피해 자금 평균 회수율은 10% 이하다. 전통 금융과 달리 웹3는 온체인으로 자금을 직접 탈취할 수 있어, 피해 발생 즉시 자금이 빠져나가기 때문이다.
Bybit는 $1.5B 해킹에도 거래소 간 공조와 준비금을 통해 투자자 피해 없이 운영을 지속했다. 반면 DeFi 프로젝트는 자산이 빠져나가는 순간 선택지가 없어진다.
해킹이 반복되고 회수율이 10% 미만인 현실은 이들의 진입을 막는 결정적 장벽이다. 웹3에 지금 필요한 건 철학이 아니라, 사고에 대비한 구조와 책임 있는 운영이다.
1. 계속 발생되고 있는 해킹 이슈
폴카닷과 이더리움을 잇는 브릿지 프로토콜 하이퍼브릿지(Hyperbridge)에서 해킹이 발생했다.
공격자가 위조 요청을 검증 없이 통과시키면서 이더리움 체인 위에 브릿지드 DOT 약 10억 개가 무단 발행됐다. 이로 인한 해킹 피해 규모는 2.5M으로 발표되었으며, 피해 규모는 지속적으로 추가되고 있는 상황이다.
폴카닷 브릿지 해킹에 앞서 DeFi 프로토콜인 드리프트 프로토콜(Drift Protocol)이 $295.7M 규모의 해킹을 당했다. 북한 연계 조직이 6개월에 걸쳐 팀원들과 신뢰 관계를 쌓은 뒤 거버넌스 권한을 탈취한 정교한 소셜 엔지니어링 작전이었다. 이후 Tether가 $127.5M 규모의 지원 패키지를 제안하며 수습에 나섰지만 총 피해액 $295.7M에 비해 지원 규모는 $147.5M에 그쳐 손실을 완전히 메우지 못했다.
이후에도 해킹은 지속되고 있다. 드리프트 이후 작은 규모까지 포함하면 올해 4월에만 12건이다. 프로그래밍 금융을 표방하는 산업에서 해킹이 연이어 일어나니, 투자자와 기관들 모두 불안감에 떨고 있다.
2. 연이어 일어나는 해킹들, 사람을 노린다.
드리프트 프로토콜 해킹은 담당자 컴퓨터 침투에서 비롯된 사건이었다. 스마트 컨트랙트 자체의 문제나 시스템의 문제가 아니라, 사람을 노린 것이다.
더 큰 문제는, 웹3에서 소셜 엔지니어링 해킹의 비중이 점차 커지고 있다는 것이다.
해킹 규모 중 소셜 엔지니어링에 해당하는 해킹 총 금액은 2021년 28.7%에서, 2025년에는 64.3% 그리고 2026년 1분기에는 74.7%에 이르렀다. 계속해서 사람을 노리는 공격이 늘어나는 반면, 코드 취약점을 노리는 공격은 같은 기간 상대적 비중이 줄어들었다.
블록체인 산업의 특성상 공개된 코드의 취약점을 파고드는 공격이 주를 이룰 법하지만, 실제로는 소셜 엔지어링 해킹이 더 크게 성행하고 있다. 이유는 단순하다. 코드의 취약점을 찾는 것보다 이미 권한을 가진 사람을 해킹하여 자금을 빼돌리기 쉽기 때문이다.
실제로 2025년 전통 기업들의 해킹 사례 중 70%가 소셜 엔지니어링 해킹이다. 이미 전통 기업권에서 성행하던 공격 방식이 웹3 산업에 그대로 적용되고 있는 것이다.
다만 웹3는 한 가지 결정적인 차이가 있다. 전통 기업은 해킹에 성공해도 자금 탈취까지 이어지기 어렵다. 계좌 동결, 송금 취소, 금융기관 개입이 작동하기 때문이다. 반면 웹3는 프로토콜 자금을 온체인으로 직접 빼낼 수 있고, 트랜잭션이 완료되는 순간 되돌릴 수단이 없다.
공격자 입장에서 웹3가 매력적인 타겟인 이유다.
3. 낮아지는 회수율, 되돌릴 수 없는 해킹
DeFi 프로토콜 해킹 피해는 매년 수십억 달러 규모로 발생하지만, 도난 자금이 실제로 원상복구되는 비율은 해가 갈수록 낮아지는 추세다. 특히 북한 라자루스 그룹(Lazarus Group)을 비롯한 국가 단위 해킹 조직과 믹서·크로스체인 브리지를 통한 자금세탁 기법이 고도화되면서, 피해 자금 회수는 점점 더 어려워지고 있다.
해킹을 당하더라도 자금이 회수된다면 최소한의 안전은 보장된다고 볼 수 있다. 그러나 DeFi 프로젝트는 이 회수율조차 낮은 수치에 머무르고 있다.
2020년부터 현재까지 연도별 평균 회수율은 10% 이하다. 단, 2021년에 발생한 $611M 규모의 Poly Network 해킹에서 공격자가 자발적으로 전액을 반환하면서 해당 연도의 회수율을 크게 끌어올렸기 때문에 해당 사건을 제외하고는 모두 낮은 회수율을 보인다.
4. 살아남는 곳은, 주체 있는 플레이어들
웹3 산업에서 해킹을 당했다고 모두가 무너지진 않았다. 한 번 해킹당하면 무너지는 DeFi 프로젝트와 달리 해킹 이슈를 잘 넘어간 케이스도 존재한다.
2025년 바이빗(Bybit)은 $1.5B 규모의 해킹을 당했음에도 살아남았다. 거래소 간 공조와 손실을 매꿀 수 있는 준비금이 있었기 때문이다. 물론 바이빗 역시 탈취된 자금이 모두 회수된 것은 아니었지만, 투자자 피해 없이 운영을 지속했다는 것이 중요하다. 이와 같이 거래소들은 해킹 등 불미스러운 상황에 대비해 SAFU 펀드를 별도로 운영하며 대응책을 준비하고 있다.
하지만 DeFi 프로젝트는 다르다. 트랜잭션이 전송되는 순간 기업의 자산이 모두 빠져나가게 되어 선택지가 없어진다. 가장 현실적인 회수 방법은 공격자와의 협상이지만, 공격자가 이에 응할 유인은 없다. 실제로 라자루스 그룹 같은 국가 지원 조직은 협상 자체가 성립하지 않는다.
전통 금융은 해킹 이후 제도가 개입했다. 계좌 동결, 수사, 보험, 법적 배상 청구가 순서대로 작동한다. 하지만 웹3는 잘못된 트랜잭션을 되돌릴 권한을 가진 주체가 없다. 프로젝트가 체인 프로젝트에게 요청해 일부 자산이 동결된 사례가 있지만, 동결이 곧 반환을 의미하지는 않는다.
결국 문제가 발생하면 되돌릴 수 없는 구조라는 점은 변하지 않는다.
5. 기관의 시대, 탈중앙화를 설득하기
우리는 기관의 시대에 살고 있다. 부정해도 큰 흐름을 이끄는 것은 기관들이며 이는 어쩔 수 없는 흐름이다.
하지만 이런 해킹 사태가 이어지고 결국 프로젝트들이 사라지게 되면 우리는 기관들에게 설득할 수 없다. 실제 기관 투자자들은 블록체인과 DeFi에 대한 관심은 실제로 크다. 블록체인을 도입함으로써 자산 운용의 효율성, 새로운 수익구조, 24시간 작동하는 시장은 이들에게 매력적인 요소로 다가간다.
하지만 프로젝트 해킹 사고가 반복되고 무너지게 되면 기관들이 들어올 명분이 사라진다. 아무리 자산 운용 효율성, 새로운 수익 구조가 있더라도 자금이 안전해야 한다. 게다가 아직까지 회수율 10% 이하는 이들이 들어오지 못하는 큰 이유 중 하나다.
기관 자본이 이 생태계에 들어오는 순간, 시장의 규모는 지금과 비교할 수 없을 만큼 커진다. 그 문을 여는 열쇠는 기술의 우월함이 아니라 신뢰할 수 있는 대응 체계다. 결국 탈중앙화를 지키면서도 기관을 설득할 수 있느냐가, 이 산업이 다음 단계로 넘어갈 수 있는지를 결정한다.
결국 현재 웹3 산업에게 필요한 것은 철학이 아니라, 사고에 대비한 구조와 책임 있는 운영이다.
🐯 More from Tiger Research
이번 리서치와 관련된 더 많은 자료를 읽어보세요.Disclaimer
이 보고서는 신뢰할 수 있는 자료를 바탕으로 작성되었습니다. 그러나 정보의 정확성, 완전성, 그리고 적합성을 명시적으로나 암시적으로 보증하지 않습니다. 당사는 본 보고서나 그 내용을 이용함에 따른 모든 손실에 대해 책임을 지지 않습니다. 이 보고서의 결론과 권고사항, 예상, 추정, 전망, 목표, 의견 및 관점은 작성 당시의 정보를 바탕으로 하며 예고 없이 변경될 수 있습니다. 또한 타인 및 타조직의 의견과 일치하지 않거나 반대될 수 있습니다. 이 보고서는 정보 제공의 목적으로 작성되었으며, 법률, 사업, 투자, 또는 세금에 관한 조언으로 간주되어서는 안 됩니다. 또한 증권이나 디지털 자산에 대한 언급은 설명을 위한 것일 뿐, 투자 권고나 투자 자문 서비스 제공을 제안하는 것이 아닙니다. 이 자료는 투자자나 잠재적 투자자를 대상으로 하지 않았습니다.
타이거리서치 리포트 이용 안내
타이거리서치는 리포트의 공정 사용을 지지합니다. 이는 공익적 목적으로 콘텐츠를 인용하되 상업적 가치에 영향을 주지 않는 범위에서의 넓은 사용을 허용하는 원칙입니다. 공정 사용 규칙에 따라, 리포트를 사전 허가 없이 사용할 수 있으나, 타이거리서치 리포트를 인용 시에는 1) 출처로 ‘타이거리서치’를 분명히 밝히고, 2) 타이거리서치 로고를 포함시켜야 합니다. 자료를 재구성하여 출판할 경우에는 별도의 협의가 요구됩니다. 사전 허가 없는 사용은 법적 조치를 초래할 수 있습니다.
