사건 건수는 2024년보다 137건 줄었지만, 단일 공격당 평균 피해액은 532만2000달러로 66.6% 급증했다. 공격 빈도는 줄어든 반면, 공격자들이 점점 더 고가치 표적을 노리고 있다는 분석이다.
공격 유형별로는 공급망 공격이 가장 큰 피해를 야기했다. 연간 발생 건수는 2건에 불과했지만, 누적 피해액은 14억5000만달러로 전체 손실의 절반 가까이를 차지했다. 이 중 대부분은 2월 발생한 바이비트 보안 사고에서 비롯됐다.
보고서에 따르면 바이비트 사고는 거래소 시스템을 직접 침해하지 않고, 제3자 멀티시그 지갑 서비스 제공업체의 개발자 환경을 공격해 서명 프로세스에 악성 코드를 삽입하는 방식으로 발생했다. 이를 통해 다중 승인 체계를 우회하며 약 14억달러 규모의 자산이 탈취됐다.
서틱은 공격자들이 단일 프로토콜보다 핵심 서비스 제공업체와 하부 인프라 도구를 집중적으로 노리고 있다며, 공급망 보안이 더 이상 주변 리스크가 아닌 구조적 위협으로 부상했다고 지적했다.
공격 빈도 측면에서는 피싱이 여전히 가장 흔한 위협으로 나타났다. 2025년 한 해 동안 총 248건의 피싱 공격이 발생해 약 7억2300만달러의 피해가 집계됐다. 이는 코드 취약점 공격(240건)보다 많았다.
다만 서틱은 실제 피해 규모가 통계보다 더 클 가능성이 크다고 봤다. 개인 사용자를 노린 피싱과 사기 공격 상당수가 공식 보고되지 않으며, 오프체인에서 발생한 사회공학 공격 역시 집계에서 누락되는 경우가 많기 때문이다.
AI , 피싱 기술 장벽을 낮춰 …보안, 웹3 경쟁 필수 요소로
보고서는 특히 인공지능(AI)의 확산이 피싱 공격의 기술적 진입 장벽을 크게 낮추고 있다고 분석했다. 공격자들은 AI를 활용해 정교한 피싱 사이트와 다국어 사기 메시지를 생성하고, 온체인 데이터와 소셜미디어 정보를 결합해 정밀 타깃 공격을 수행하고 있다. 기존의 문법 오류나 템플릿 기반 탐지 방식은 점차 효과를 잃고 있다는 평가다.
서틱은 기관 투자자와 규제 친화적 자금 유입이 확대되면서 보안이 사후 대응 수단이 아닌 프로젝트 설계·운영 전반의 핵심 인프라 요소로 전환되고 있다고 분석했다. 보안은 선택 사항이 아니라 장기적인 생존 가능성을 좌우하는 필수 조건이라는 것이다.
보고서는 향후 1년간 AI 기반 사칭 공격, 고도화된 공급망 공격, 개인 사용자를 겨냥한 사회공학 공격이 지속적으로 진화할 것으로 전망했다. 이에 따라 보안을 아키텍처 설계와 개발, 사용자 경험 전반에 내재화한 프로젝트만이 웹3 경쟁 국면에서 경쟁력을 확보할 수 있을 것이라고 내다봤다.
