댓글 0
기사입력 : 2025.01.03 08:47
CertiK이 최신 ‘Hack3d: 2024년 연간 보안 보고서’를 발표했다. 보고서에 따르면 2024년 Web3 분야에서 보안 사건으로 인한 총손실액이 23억달러를 넘어섰으며, 이는 전년 대비 31.61% 증가한 수치이다. 특히 12월의 손실액이 연중 가장 낮았던 것으로 확인된다. 지난 1년 동안 피싱 공격과 개인 키 유출이 가장 큰 영향을 미친 주요 공격 방식으로 부각됐으며 업계의 심각한 위협으로 부상했다.
2024년 Web3 분야에서는 총 760건의 보안 사건이 발생해 약 23.63억달러의 손실을 초래했다. 2023년과 비교할 때, 총손실액은 31.61% 증가했고, 보안 사건 수는 29건 늘어났다. 이 중 피싱 공격과 개인 키 유출이 2024년의 주요 공격 벡터로, 각각 약 10.5억달러와 8.55억달러의 손실을 기록했다. 특히 피싱 공격은 연간 도난 금액의 거의 절반을 차지하며, 전체 사건 수의 39.1%를 차지하는 것으로 나타났다. 이는 피싱 공격이 다른 유형의 취약점에 비해 사건당 손실 규모가 훨씬 크다는 점을 보여주고 있다.
피싱 공격이 공격자들에게 선호되는 이유는 그 실행 방식이 간단하고 효율적이기 때문이다. 기술적 돌파구에 의존하는 공격 수단과 달리, 피싱은 인간의 약점을 이용하는 방식이다. 공격자는 위조된 이메일, 가짜 웹사이트 또는 사기성 메시지를 통해 피해자가 자발적으로 비밀번호, 개인 키 또는 지갑 주소와 같은 민감한 정보를 유출하도록 유도한다. Web3 분야에서는 거래의 불가역성이 피싱의 파괴력을 더욱 확대하게 된다. 자금이 이전된 후에는 공격자가 자발적으로 반환하지 않는 한 이를 회수하기가 거의 불가능하기 때문이다.
CertiK은 피싱 공격으로 인한 손실을 제외하면 전체 생태계의 보안 상태가 개선되고 있다는 점에 주목했다. 2024년에는 2021년 이후 가장 큰 20대 사건 목록에 단 1건의 보안 사건(WazirX, 손실액 2.31억달러)만 포함돼, 1억달러 이상의 손실을 초래한 대규모 보안 사건의 빈도가 감소되고 있음을 보여준다.
이외에도 CertiK의 연간 보안 보고서는 2024년에 공격이 빈번했던 블록체인 플랫폼, 도난당한 금액과 TVL(가상자산 예치 총액) 간의 연관성, 주요 보안 사고 그리고 산업의 주요 발전 동향을 심층적으로 분석했다. 또한, Web3 생태계 참여자들에게 실천 가능한 보안 관행에 대한 조언도 제공했다.
CertiK은 Web3 분야의 보안 트렌드를 지속적으로 추적하고 있으며, 현재까지 70건 이상의 화이트 해커 활동을 수행하고 4000건 이상의 보안 사건을 보고하는 한편, 총 11.5만 개 이상의 코드 취약점을 발견해 5100억달러 이상의 디지털 자산을 잠재적 손실로부터 보호하는 성과를 기록했다.
한편 예일대와 컬럼비아대 교수 두 명이 2018년에 설립한 CertiK은 블록체인 보안 업체로 AI 감사 기술, 보안 전문가 수동 감사를 활용해 블록체인 프로토콜과 스마트 컨트랙트를 스캔 및 모니터링한다.
CertiK이 밝힌 바에 따르면 4100개 이상의 기업과 협력해 7만 개 이상의 블록체인 코드 취약점을 탐지했으며, 3700억달러 이상의 자산을 보호했다고 한다. 고객으로는 Aptos, Ripple, Sandbox, Polygon, BNB Chain 및 TON과 같은 주요 프로젝트 등이 있다.
CertiK은 Insight Partners, Sequoia, Tiger Global, Coatue Management, Lightspeed, Advent International, SoftBank, Hillhouse Capital, Goldman Sachs, Coinbase Ventures, Binance, Shunwei Capital, IDG Capital, Wing, Legend Star, Danhua Capital 등 VC들에게 투자를 받았다.
