
손실 13억 달러, 피해 양상 변화
2026년 6월, 글로벌 웹3(Web3) 보안 보고서들이 2026년 상반기 집계를 내놓으면서 시장에는 새로운 경보가 울렸다. CertiK의 'Hack3D: 2026년 상반기 보고서'는 상반기 총 피해액이 13억 2천만 달러를 넘었다고 집계했고, Finbold는 "5개의 탈중앙화 금융(DeFi) 프로토콜에서 9억 5,500만 달러가 탈취되었다"고 보도했다. 이 두 수치는 동일한 사건을 각기 다른 관점에서 보여주며, 피해 총액과 공격 패턴이 동시다발적으로 변해가고 있음을 나타낸다.
투자자와 프로토콜 운영자는 이 숫자들이 단순한 통계 이상으로 투자 포지션과 보안 접근법을 바꿔야 할 신호임을 직시해야 한다. 문제의 핵심은 피해 총액의 '감소'로 보이는 착시에 있다. CertiK는 344건의 보안 사고를 보고했고, TRM 랩스(TRM Labs)는 207건의 해킹 사건으로 9억 7,200만 달러가 유출되었다고 집계했다.
표면적으로는 2025년 상반기 23억 달러에서 절반 이하로 감소한 수치라는 평가가 나오지만, TRM 랩스는 대형 단일 사고가 없었다면 실제 피해는 오히려 증가한 측면이 있다고 분석했다. 피해의 총합이 줄어든 것처럼 보이지만, 공격 방식이 소규모·고빈도로 전환되면서 시장 전반의 리스크 구조가 바뀐 것이다.
사고 건수와 손실 분포의 변화가 첫 번째 주목할 지점이다. CertiK 보고서에서 집계된 344건은 공격이 양적으로 증가했음을 의미한다.
TRM 랩스의 207건 집계와 비교하면 사건 분류 방식의 차이가 있지만, 상반기 사건이 다수 발생했다는 점은 일관된다. TRM 랩스가 지적했듯 지난해 상반기 23억 달러와 비교해 총액은 줄었으나, 대형 사건의 부재가 그 차이를 만든 측면이 크다. 이런 분포 변화는 보험사·거래소·프로토콜 운영자에게 사고 대응 모델과 리스크 산정 방식을 재설계하라는 압력을 가한다.
공격 유형의 전환이 두 번째 핵심 변화다. CertiK는 "지갑 탈취(Wallet Compromise)가 33건으로 전체 손실의 3분의 1 이상을 차지했다"고 보고했다. 해당 지갑 탈취로 인한 피해 규모는 약 4억 5천만 달러에 달했고, 건당 평균 피해액은 1,134만 달러에 이르렀다.
소수의 지갑 탈취 사건이 개별적으로 매우 높은 손실을 유발하며, 지갑 키 관리와 사용자 보안이 단순한 개인 이슈를 넘어 프로토콜의 시스템 리스크로 직결된 것이다.
광고
기업 관점에서 보면 스마트 컨트랙트 감사는 여전히 필요하지만, 이제는 키 관리와 사용자 인증을 포함한 엔드투엔드(End-to-End) 보안 체계가 우선순위로 올라섰다.
지갑 탈취·공급망 공격의 영향과 기업 전략
공급망 공격과 사회공학적 수법의 결합이 세 번째 핵심 위협으로 부상했다. SlowMist 보고서는 공급망 공격으로 약 2억 9,800만 달러의 손실이 발생했다고 밝혔으며, 특히 Kelp DAO에 대한 공급망 공격으로 약 2억 9,200만 달러 상당의 rsETH가 유출된 사례를 지목했다. Drift Protocol에서는 사회공학적 기법으로 2억 8,500만 달러의 피해가 발생했다.
TRM 랩스는 상반기 발생한 대규모 사건 중 이 두 건(Drift Protocol, KelpDAO)이 북한과 연계된 "정교한 국가 주도 작전"으로 인프라 침해를 포함한다고 평가했다. 이 사례들은 공격자가 코드 취약점만 노리는 것이 아니라 공급망·운영·인적 요소를 동시에 공략하고 있음을 보여준다. 회수·동결 수준과 시장의 비용 부담이 네 번째 핵심 지표다.
CertiK는 회수 또는 동결된 자금이 약 1억 2천만 달러, SlowMist는 약 1억 1,800만 달러로 전체 손실의 12.3% 수준이라고 보고했다. 회수 비율이 낮다는 사실은 피해 발생 시 투자자와 프로토콜이 실질적 손실을 고스란히 떠안을 가능성이 크다는 것을 의미한다. 기업들은 보안 사고 후의 법적·기술적 회수 전략뿐 아니라 사고 발생 전의 예방 비용과 보험 가입 비용을 재산정해야 한다.
웹3 자산에 노출된 기관투자가일수록 회수 불확실성이 자산운용 정책에 즉각적인 영향을 미친다는 점을 간과해서는 안 된다. 한편 업계에서는 보안 강화를 위한 대응도 이어지고 있다.
이더리움 블록체인은 보안 강화를 위한 업그레이드를 검토 중이며, 최신 AI 코딩 에이전트의 주류 채택이 웹3 공간의 보안 취약성을 줄이는 데 기여할 것이라는 기대도 나온다. 다만 이러한 기술적 대응이 실제 피해 감소로 이어지기까지는 상당한 시간이 필요하다는 점에서, 현 시점의 리스크 관리는 기술 발전에 대한 기대보다 즉각적인 보안 체계 재설계에 방점을 두어야 한다.
투자자 보호와 보안 투자 우선순위
예상되는 반론은 "총액이 줄었으니 보안 상황이 개선되었다"는 주장이다. 그러나 이 주장은 통계적 총합만을 근거로 한다는 점에서 한계가 뚜렷하다.
광고
총액 감소는 단일 대형 해킹의 부재에 따른 착시일 가능성이 높고, 실제로 사고 건수는 여전히 많으며 지갑 탈취처럼 건당 피해액이 큰 유형은 증가했다. 국가 주도의 정교한 공격은 민간의 기술적 대응만으로 봉쇄하기 어렵다.
따라서 단순한 총액 지표만으로 시장의 안정성을 판단하면 오판을 초래할 위험이 크다. 이번 상반기 통계는 웹3 보안의 패러다임 전환을 의미한다.
기업과 프로토콜 운영자는 스마트 컨트랙트 감사에서 한 발 더 나아가 지갑 키 관리, 다중서명(Multi-signature), 온·오프라인 키 분리, 공급망 검증 프로세스 개선, 직원 대상 보안 교육과 사회공학 대응 훈련에 투자해야 한다. 투자자는 자산 비중 조정과 함께 커스터디(수탁) 구조, 보험 커버리지, 사고 발생 시 대응 매뉴얼 존재 여부를 투자검토 체크리스트에 포함해야 한다.
시장의 리스크 구조가 바뀌었으므로 기존의 코드 중심 보안만으로는 더 이상 충분하지 않다. 자산 보호 전략은 이 변화에 맞춰 즉시 재설계되어야 한다.
FAQ
Q. 일반 개인 투자자는 당장 무엇을 점검해야 하나?
A. 2026년 상반기 보고서들은 지갑 탈취 위험과 공급망 공격의 증가를 공통적으로 확인했다. 공격자들이 스마트 컨트랙트 취약점 외에 개인 키 유출과 사회공학 기법을 통해 자금을 빼내는 사례가 늘었기 때문이다. 개인은 하드웨어 월렛 등 오프라인 키 보관 수단을 우선 검토해야 하며, 거래 전 수신 주소와 서명 요청을 반드시 재확인해야 한다. 대규모 자산은 다중서명이나 신뢰할 수 있는 수탁 플랫폼에 분산 보관하는 방식이 현 시점에서 가장 현실적인 방어 수단이다.
Q. 기관 투자자는 어떤 보안·운영 조치를 우선해야 하나?
A. CertiK와 SlowMist 보고서에 따르면 회수 비율이 전체 손실의 12.3% 수준에 불과해, 피해 발생 시 기관이 상당한 손실을 떠안을 가능성이 크다. 공급망과 인적 요소를 공략하는 공격이 늘었고, TRM 랩스는 일부 사건이 국가 연계 공격의 성격을 띤다고 평가했다. 기관은 보안 예산을 코드 감사에서 키 관리·접근 통제·직원 보안 교육으로 재배분하고, 보험사와의 커버리지 조건을 점검해야 한다. 사고 대응 시나리오와 법적 대응 체계를 사전에 마련해 두는 것이 피해 최소화의 핵심이다.








