가상자산 거래소 해킹 657건, 피해액 128억 달러 기록

베트남 블록체인 협회(VBA) 연구개발부의 통계에 따르면, Chainalysis와 Immunefi의 보고서에 따르면, 2020년부터 2025년 2월 25일까지 전 세계적으로 657건의 암호화폐 거래소 해킹이 발생하여 최대 128억 달러의 손실이 발생했으며, 이는 전 세계적인 사이버 보안 위험을 경고하는 것입니다.

2022년은 219건의 사이버 공격으로 약 38억 달러의 피해를 입어 "절정"의 해로 기록되었습니다. 2025년은 첫 두 달에 불과하지만, 20건의 해킹 사건이 발생하여 총 피해액이 약 25억 달러에 달했습니다.

2020년부터 2025년 초까지의 유명한 해킹 사례

바이빗(Bybit)은 2025년 초 15억 달러의 손실을 입으며 가장 큰 타격을 입었습니다. 이어서 2022년 로닌(Ronin) 해킹 사건으로 6억 1,500만 달러의 손실을 입었으며, 크로스 체인 브리지 공격으로 인해 게임 Axie Infinity 네트워크에 영향을 미쳤습니다.

Trong 5 nam, ghi nhan 657 vu hack san giao dich tai san ao

지난 5년간 세 번째로 큰 해킹 사건은 Poly Network(2021)로 6억 1,000만 달러가 도난당했지만 해커는 협상 후 대부분의 자산을 반환했습니다.

DMM 비트코인(2024년) 공격으로 거래소에서 3억 달러의 순 인출이 발생했습니다. 이 사건은 개인 키 유출로 인해 발생했으며, 이로 인해 DMM 비트코인은 즉시 폐쇄되었습니다.

5위는 쿠코인 거래소에 대한 공격(2020년)으로, 피해 규모는 2억 8,100만 달러에 달하며, 주로 이더리움과 비트코인을 표적으로 삼아 블록체인 커뮤니티에 공황을 야기했습니다.

일반적인 공격 형태

VBA 연구개발부의 통계에 따르면, 2020년부터 2025년 2월 25일까지 암호화폐 분야에서는 개인 키 침해, 크로스 체인 브리지 공격, 스마트 계약 악용 등 3가지 주요 공격 형태가 발생했습니다.

개인 키 유출은 전체 해킹 사건의 36%를 차지했으며, 235건의 사고와 56억 달러(총 손실액의 44%)의 손실을 초래했습니다. 이러한 공격은 일반적으로 중앙화 거래소(CEX)나 개인 지갑에서 발생하며, 해커는 개인 키를 훔쳐 자산을 장악합니다. 2024년 사이버 범죄자들은 이러한 수법을 통해 13억 4천만 달러를 훔쳤습니다.

크로스 체인 브리지 공격 또한 상당한 피해를 입혔습니다. 이 범주에서 발생한 해킹은 79건으로 전체의 12%를 차지했으며, 손실액은 약 12억 5천만 달러에 달했습니다. 이는 보안이 취약한 블록체인 네트워크 간 거래의 심각한 위험을 부각시켰습니다.

한편, 블록체인 분야에서는 스마트 컨트랙트 공격이 가장 흔한 수법으로, 전체 해킹의 58%를 차지하며 최대 69억 5천만 달러의 손실을 입혔습니다. 해커들은 스마트 컨트랙트 코드의 취약점을 악용하여 공격을 감행하고 분산 금융 프로토콜의 자산을 탈취했습니다. 2022년에는 이러한 유형의 해킹이 총 150건 발생하여 24억 달러의 손실을 입혔으며, 이는 전체 손실액의 82.1%에 해당합니다.

Trong 5 nam, ghi nhan 657 vu hack san giao dich tai san ao-Hinh-2

베트남 블록체인 협회 기술 전문가이자 ABAII 연구소 과학 위원회 위원인 Do Van Thuat 박사

베트남 블록체인 협회 기술 전문가이자 ABAII 연구소 과학 위원회 회원인 도 반 투앗 박사는 스마트 계약이 종종 공격 대상이 되는 이유를 설명하며, 스마트 계약은 블록체인 네트워크의 다양한 애플리케이션(DApp)에 맞게 프로그래밍되고 배포되는 거래 규칙이라고 설명했습니다. 블록체인은 매우 안전하지만, 애플리케이션(예: 탈중앙화 금융 DeFi)의 보안은 계약에 명시된 운영 규칙 세트에도 영향을 받습니다. 규칙에 결함이 있거나 취약성이 있는 경우, 보안이 취약해지고 악용되어 재정적 손실로 이어질 수 있습니다. 이는 실제 생활의 민사 및 사업 계약과 유사합니다.

"스마트 컨트랙트는 막대한 자산을 보유하고 매일 수십억 달러 규모의 거래를 처리하며, 누구나 해당 컨트랙트를 읽고 상호작용할 수 있어 해커의 손쉬운 표적이 됩니다. 바이비트(Bybit), 로닌(Ronin), 폴리 네트워크(Poly Network) 공격 사례로 돌아가 보면, 이러한 플랫폼의 공통점은 자산을 다중 서명 스마트 컨트랙트로 저장한다는 것입니다. 즉, 자금을 인출하려면 컨트랙트를 관리하는 여러 사람의 동시적인 디지털 서명이 필요합니다. 이러한 컨트랙트는 오픈 소스이며 철저한 감사를 거쳤고, 매우 인기가 높습니다."라고 투앗 박사는 말했습니다.

투앗 박사는 바이비트 해킹 사건에 대해 간단히 설명하며, 오픈소스 다중 서명 지갑인 Safe를 사용하는 계약에서 해커들이 실제로 스마트 계약 관리자(비밀 키를 보유한 각 사람은 계약에 서명할 권한이 있음)를 공격했다고 설명했습니다. 해커들은 다소 "교묘한" 방식으로 관리자에 대해 알아내고 속여 도둑들이 돈을 인출하도록 허용했습니다. 스마트 계약은 마치 단단히 잠긴 자산 창고와 같습니다. 도둑은 자물쇠를 풀 수는 없지만, 열쇠 소지자를 속여 문을 열고 침입하여 돈을 훔칠 수 있습니다.

기술적인 측면을 더 자세히 살펴보면, 사용자 인터페이스(UX/UI)는 클라우드 플랫폼의 기존 IT 시스템(예: Web2)을 통해 관리 및 운영되는 경우가 많습니다. 해커들은 AWS에서 Safe의 서버 취약점을 악용하여 악성 정보를 삽입하고 은폐함으로써 관리자의 주관적인 판단을 유도하고, 해커가 계약 규칙을 변경하여 돈을 인출할 수 있도록 허용하는 데 성공했습니다.

투앗 박사는 "이 공격은 베트남을 포함한 전 세계의 많은 유명 보안 기관에서 분석되었습니다."라고 말했습니다.

Trong 5 nam, ghi nhan 657 vu hack san giao dich tai san ao-Hinh-3

베트남 블록체인 협회 웹3 위원회 위원장 Nguyen Trung Thanh 박사

베트남 블록체인 협회 웹3 위원회 위원장인 응우옌 쭝 탄(Nguyen Trung Thanh) 박사는 투앗 박사와 같은 의견을 공유하며, 공격 실행은 간단하지 않으며 많은 조건이 필요하다고 말했습니다. 공격자는 시스템의 취약점, 특히 웹2 구성 요소와 인적 요소를 파악하기 위해 신중하고 끈기 있게, 그리고 꼼꼼하게 모니터링해 왔습니다.

"이러한 취약점은 항상 존재하는 것은 아니며, 실제 환경에 제품을 배치하는 과정(golive), 인사 관리, 오픈소스 코드 관리 등의 과정에서 부주의가 발생하거나, "평판이 좋다"고 여겨지지만 공격을 받는 제3자 제품을 사용할 때만 발생할 수 있습니다. 일부 취약점은 오랫동안 존재했지만 적시에 발견 및 수정되지 않았을 수 있습니다. 해커가 이러한 취약점을 발견하면 침투를 위한 악용 대상이 될 수 있습니다."라고 Thanh 박사는 평가했습니다.

베트남 블록체인 협회(Vietnam Blockchain Association)의 기술 전문가이자 미국 시애틀에 위치한 Veramine Inc.의 공동 창립자 겸 부사장인 응우옌 두이 란(Nguyen Duy Lan) 박사는 암호화폐 공격이 취약점 악용과 사회 공학 기법을 결합하여 웹 3 및 웹 2 시스템의 다양한 취약점을 노리는 경우가 많다고 분석했습니다. 웹 3의 경우, 스마트 계약의 논리적 오류가 자주 악용되는데, 특수 사례(코너 케이스)의 안전하지 않은 처리, 화폐 덧셈 및 뺄셈 연산 오류, 암호화 취약점 등이 그 예입니다.

"한편, 웹 2 부분은 다양한 방식으로 공격받을 수 있으며, 주로 사용자, 관리자 또는 브리지의 비밀 키에 집중됩니다. 이러한 키가 하드웨어 보안 관리 시스템(HSM)이나 콜드 월렛과 같은 하드웨어 보안 장치로 보호된다면 도난은 거의 불가능하지만, 예측 가능한 키를 생성할 수 있는 암호화 오류는 여전히 방지해야 합니다. 이 경우, 공격은 주로 키를 관리하는 소프트웨어 시스템에 침투하여 시스템과 관리자를 속이는 악성코드를 설치함으로써 이러한 키의 보호 기능에 접근하거나 우회하는 것을 목표로 합니다."라고 란 박사는 평가했습니다.

베트남의 미래 해결책은 무엇인가?

해커들의 점점 더 정교해지는 공격은 시장에 큰 영향을 미치고 투자자들의 심리에도 영향을 미쳤습니다. 그러나 투앗 박사는 주요 원인은 스마트 계약 자체의 취약점이 아니라 스마트 계약 관리자들의 사기에 있다고 단언했습니다. 대부분의 계약은 여전히 안전하며, 스마트 계약을 통한 블록체인 애플리케이션의 잠재력은 여전히 매우 열려 있고 유망합니다.

해킹 위험을 최소화하기 위해, VBA 기술 전문가들은 계약 개발자와 운영자(비밀 키를 보유)는 항상 안전을 최우선으로 생각하고, 해커의 침입을 막고 위험을 최소화하기 위해 정보 보안 및 시스템 보안 부서에 문의해야 한다고 생각합니다.

"보안 도구 개발, 테스트, 감사, 침투 테스트 등 기술, 인력, 보안 프로세스에 대한 투자가 필수적입니다. 또한 활동 모니터링 시스템을 구축하고 인공지능(AI)을 적용하여 이상 징후를 탐지하는 것도 필수적입니다. 설계부터 구축까지 암호화폐 시스템 개발의 전 과정에 보안을 통합해야 하며, 기존 정보 기술 산업의 보안 프로세스에서 배울 수 있습니다."라고 응우옌 주이 란 박사는 말했습니다.

응우옌 중 탄 박사는 정보 보안 분야에서 절대적인 안전을 보장하는 것은 불가능하며, 위험을 최소화하고 가능한 상황에 대비하는 것만이 가능하다는 의견을 표명했습니다.

"기술 투자는 가볍게 여겨서는 안 됩니다. 단기적으로는 비용 절감에 도움이 될 수 있지만, 보안에 대한 집중 부족은 장기적으로 심각한 결과를 초래할 수 있습니다. 베트남 블록체인 협회의 명망 있는 회원사들은 디지털 자산의 안전을 보장하기 위해 대기업들과 항상 함께하고 지원할 준비가 되어 있습니다."라고 탄 박사는 말했습니다.

최근 암호화폐 거래소 해킹 사건 발생 이후, 베트남 블록체인 협회 회장 판 득 쭝(Phan Duc Trung)은 베트남 정부가 정보 보안 기준과 암호화폐 관리 체계를 조속히 구축해야 한다고 촉구했습니다. "디지털 자산 시장이 지속적으로 성장함에 따라, 명확한 법적 체계 부재는 투자자들을 취약하게 만들 뿐만 아니라 블록체인 산업의 잠재력을 제한하고 있습니다. 법을 기반으로 해야 사용자를 보호하고 혁신을 촉진하는 신뢰할 수 있는 암호화폐 생태계를 구축할 수 있습니다."라고 쭝 회장은 강조했습니다.