배성민 | 기자 작성일 2025년 12월 25일
글로벌 최대 Web3 보안 기업 CertiK은 ‘2025 Skynet Hack3D Web3 보안 보고서’를 발표하며 지난 1년간 Web3 분야에서 발생한 주요 보안 사건과 리스크 트렌드를 체계적으로 정리했다. 보고서는 시장 환경의 회복과 규제 전망의 명확화 속에서 Web3 산업이 가속적으로 성장하고 있지만, 보안 리스크는 그에 비례해 완화되지 않았으며 여전히 구조적인 보안 도전에 직면해 있다고 지적했다.
CertiK 2025 Skynet Hack3d 보고서 CertiK은 보고서에서 이러한 사건들이 공격자들이 단일 프로토콜 자체보다는 핵심 서비스 제공업체와 하부 인프라 도구에 자원을 집중하고 있음을 보여준다고 지적했다 보고서에 따르면 2025년 Web3 분야에서는 총 630건의 보안 사건이 발생해 약 33.5억달러의 손실이 발생했으며, 이는 2024년 대비 37% 증가한 수치다. 사건 건수는 전년보다 137건 감소했지만, 단일 공격당 평균 피해액은 532.2만달러로 전년 대비 66.6% 급증해 공격자들이 점점 더 고가치 표적에 집중하고 있음을 보여준다.
공격 유형별로 보면, 공급망 공격이 2025년 가장 큰 피해를 야기한 리스크 요인으로 나타났다. 연간 관련 사건은 단 2건에 불과했지만, 누적 피해액은 14.5억달러에 달해 전체 연간 손실의 절반 가까이를 차지했다. 이 중 대부분의 피해는 2월에 발생한 Bybit 사건에서 비롯됐다.
보고서에 따르면 Bybit는 2025년 2월 발생한 보안 사고로 약 14억달러의 피해를 입었으며, 이는 지금까지 발생한 가상자산 탈취 사건 중 최대 규모 중 하나로 평가된다. 공격자는 거래소 시스템을 직접 침해하지 않고, 제3자 멀티시그 지갑 서비스 제공업체의 개발자 환경을 침입해 서명 프로세스에 악성 코드를 삽입함으로써 다중 승인 메커니즘을 우회했다.
CertiK은 보고서에서 이러한 사건들이 공격자들이 단일 프로토콜 자체보다는 핵심 서비스 제공업체와 하부 인프라 도구에 자원을 집중하고 있음을 보여준다고 지적했다. 이에 따라 공급망 보안은 더 이상 간과할 수 없는 구조적 리스크로 부상하고 있다고 강조했다.
공격 빈도 측면에서 보면, 피싱 공격은 2025년에도 여전히 가장 흔한 보안 위협으로 나타났다. 보고서에 따르면 연간 총 248건의 피싱 공격이 기록됐으며, 이로 인한 피해액은 약 7.23억달러에 달했다. 발생 건수는 코드 취약점 공격(240건)보다 소폭 높았다.
특히