서틱 "작년 웹3 보안 사고 피해 규모 23억 달러"

2024년 웹3 분야에서 보안 사건으로 인한 총 손실액이 23억 달러를 넘어섰다.

웹3 보안 기업 '서틱(CertiK)'은 최근 'Hack3d: 2024년 연간 보안 보고서'를 발간, "2024년 웹3 분야에서 보안 사건으로 인한 총 손실액이 23억 달러를 넘어섰다"고 밝혔다.

보고서에 따르면 작년 한 해 웹3 분야에서 총 760건의 보안 사건이 발생, 약 23.63억 달러의 손실을 초래했다.

2023년과 비교해 총 손실액은 31.61% 증가했고, 보안 사건 수는 29건 늘어났다. 연중 가장 손실이 적었던 달은 12월이었다.

피싱 공격과 개인 키 유출은 2024년의 주요 공격 벡터로, 각각 약 10.5억 달러와 8.55억 달러의 손실을 기록했다.

특히, 피싱 공격은 연간 도난 금액의 절반 가까이, 전체 사건 수의 39.1%를 차지하며 다른 공격 유형에 비해 사건 당 손실 규모가 훨씬 크다는 점을 보여줬다.

서틱은 피싱 공격이 공격자들에게 선호되는 이유는 그 실행 방식이 간단하고 효율적이기 때문이라고 밝혔다.

기술적 돌파구에 의존하는 공격 수단과 달리, 피싱은 인간의 약점을 이용한다면서 "공격자는 위조된 이메일, 가짜 웹사이트 또는 사기성 메시지를 통해 피해자가 자발적으로 비밀번호, 개인 키 또는 지갑 주소와 같은 민감한 정보를 유출하도록 유도한다"고 설명했다.

보안 업체는 "웹3 분야에서는 거래의 불가역성이 피싱의 파괴력을 더욱 확대한다"면서 "자금이 이전된 후에는 공격자가 자발적으로 반환하지 않는 한 이를 회수하기가 거의 불가능하기 때문"이라고 말했다.

한편, 피싱 공격으로 인한 손실을 제외하면 전체 생태계의 보안 상태가 개선된 것으로 확인됐다.

2024년에는 2021년 이후 가장 큰 20대 사건 목록에 단 1건의 보안 사건(WazirX, 손실액 2.31억 달러)만 포함돼 1억 달러 이상의 손실을 초래한 대규모 보안 사건의 빈도가 감소하고 있음을 보여줬다.

서틱의 연간 보안 보고서는 이밖에 2024년에 공격이 빈번했던 블록체인 플랫폼, 도난된 금액과 TVL(가상자산 예치 총액) 간의 연관성, 주요 보안 사고, 그리고 산업의 주요 발전 동향을 심층적으로 분석했다. 웹3 생태계 참여자들에게 실천 가능한 보안 관행에 대한 조언도 제공한다.

서틱은 웹3 분야의 보안 트렌드를 지속적으로 추적하며 현재까지 70건 이상의 화이트 해커 활동을 수행하고 4000건 이상의 보안 사건을 보고했다. 총 11.5만 개 이상의 코드 취약점을 발견하여 5100억 달러 이상의 디지털 자산을 잠재적 손실로부터 보호했다.