Web3 hack saldırılarında sosyal mühendislik payı 2026 ilk çeyrekte %74,7’ye çıktı

웹3 해킹이 2026년 들어 다시 시장의 핵심 리스크로 떠오르고 있다. 최근 타이거리서치 보고서에 따르면 4월에만 12건의 해킹 이슈가 보고됐고, 특히 사람을 노린 ‘소셜 엔지니어링’ 공격이 2026년 1분기 전체 피해액의 74.7%를 차지했다. 코드 취약점을 파고드는 전통적 방식보다, 권한을 가진 개인을 겨냥하는 공격이 더 효율적인 수단으로 자리 잡으면서 웹3 산업의 구조적 취약성이 다시 부각되는 모습이다.

최근 공개된 타이거리서치 보고서는 이번 흐름이 단순한 개별 사고의 반복이 아니라고 짚었다. 폴카닷(DOT)과 Ethereum(ETH)을 연결하는 브릿지 프로토콜 하이퍼브릿지에서는 위조 요청이 별도 검증 없이 통과되면서 Ethereum(ETH) 체인에서 브릿지드 도트가 약 10억 개 무단 발행되는 사고가 발생했다. 발표된 피해 규모는 250만 달러지만, 추가 집계 가능성도 남아 있다. 앞서 드리프트 프로토콜은 2억9,570만 달러 규모의 해킹 피해를 입었다. 이 사건은 스마트컨트랙트 결함보다는 장기간 신뢰를 쌓은 뒤 거버넌스 권한을 탈취한 정교한 ‘소셜 엔지니어링’ 사례로 분류된다.

수치 흐름도 뚜렷하다. 타이거리서치에 따르면 전체 해킹 피해액에서 ‘소셜 엔지니어링’이 차지하는 비중은 2021년 28.7%에서 2025년 64.3%로 높아졌고, 2026년 1분기에는 74.7%까지 상승했다. 반면 코드 취약점을 직접 노리는 공격의 상대적 비중은 줄어드는 추세다. 블록체인 산업은 공개 코드와 온체인 투명성을 강점으로 내세워 왔지만, 실제 공격자들은 시스템보다 사람을 더 쉬운 침투 경로로 보고 있다는 의미다.

이 같은 변화는 전통 산업의 사이버 보안 흐름과도 닿아 있다. 2025년 전통 기업 해킹 사례의 70%가 ‘소셜 엔지니어링’ 기반이었다는 외부 통계처럼, 웹3 역시 같은 공격 패턴의 영향을 받고 있다. 다만 차이는 사고 이후 대응 구조에 있다. 전통 금융권은 계좌 동결, 송금 취소, 수사기관 개입, 보험 및 법적 배상 절차 등 사후 대응 장치가 비교적 촘촘하다. 반면 웹3는 트랜잭션이 완료되는 순간 자금이 온체인에서 즉시 이동해 사실상 되돌리기 어렵다. 공격자 입장에서 웹3가 더 매력적인 표적이 되는 배경이다.

문제는 피해 회수 가능성도 매우 낮다는 점이다. 보고서는 2020년 이후 디파이 해킹 피해 자금의 연도별 평균 회수율이 10% 이하에 머물렀다고 분석했다. 2021년 폴리 네트워크 해킹처럼 공격자가 6억1,100만 달러를 자진 반환한 예외적 사례를 제외하면, 대부분 사건의 실질 회복은 극히 제한적이었다. 여기에 북한 라자루스 그룹 같은 국가 단위 조직이 믹서와 크로스체인 브리지를 활용해 자금 세탁 수법을 고도화하면서 자금 추적과 환수는 더 어려워지고 있다.

같은 해킹이라도 프로젝트의 생존 여부는 구조에 따라 갈린다. 대표적으로 2025년 바이빗은 15억 달러 규모의 해킹을 겪고도 거래소 간 공조와 충분한 준비금을 바탕으로 투자자 피해 없이 운영을 이어갔다. 중앙화 거래소들은 이른바 SAFU 펀드 같은 별도 대응 장치를 통해 비상 상황에 대비해 왔다. 반면 디파이 프로젝트는 자산이 빠져나가는 순간 선택지가 급격히 줄어든다. 공격자와 협상이 현실적 대안으로 거론되기도 하지만, 국가 지원형 해킹 조직에는 이런 방식도 통하지 않는 경우가 많다.

결국 웹3 해킹은 단순한 기술 문제가 아니라 산업 신뢰의 문제로 번지고 있다. 기관투자자들은 블록체인과 디파이에 대해 자산 운용 효율화, 새로운 수익 모델, 24시간 운영 시장이라는 장점을 높게 평가해 왔다. 하지만 반복되는 해킹과 낮은 회수율은 본격 진입을 가로막는 핵심 장벽으로 작용하고 있다. 시장 참여자들이 ‘탈중앙화’라는 철학만으로 위험을 감수할 것이라고 기대하긴 어렵다.

타이거리서치는 웹3 산업이 다음 단계로 나아가기 위해서는 기술 우위만으로는 부족하다고 진단했다. 해킹이 반복되고 회수율이 10% 미만에 머무는 현실에서는, 사고를 전제로 한 대응 구조와 책임 있는 운영 체계가 먼저 마련돼야 한다는 설명이다. 웹3 해킹을 더 이상 예외적 사건이 아닌 상시 위험으로 받아들이고, 투자자 보호와 기관 신뢰를 함께 충족할 수 있는 안전장치를 갖출 수 있느냐가 향후 산업 확장의 분수령이 될 것으로 보인다.