소셜 엔지니어링 단일 사건서 대규모 피해 발생
주소 오염·지갑 드레이너 등 복합 공격 지속
“기술보다 사람 노린 공격” 보안 패러다임 변화
블록체인 보안업체 CertiK이 공개한 2026년 1월 가상자산 보안 사고 월간 통계 자료에 따르면, 1월 한 달 동안 발생한 보안 사고로 약 3억7,030만 달러 규모의 자산이 유출된 것으로 나타났다. 전체 피해액의 대부분이 피싱과 소셜 엔지니어링 기반 공격에서 발생하면서, 스마트컨트랙트 취약점보다 이용자를 직접 겨냥한 공격이 최대 리스크로 부상한 것으로 분석됐다.
자료에 따르면 1월 총 피해액은 약 3억 7033만 달러로 집계됐다. 이 가운데 피싱 공격으로 인한 손실이 약 3억 1130만 달러로 가장 큰 비중을 차지했다. 반면 코드 취약점 악용에 따른 손실은 약 5159만 달러 수준으로, 전통적인 취약점 기반 해킹보다 계정 탈취 및 서명 유도형 공격의 피해 규모가 더 크게 나타났다.
유형별로 보면 소셜 엔지니어링 기반 공격 피해가 약 2억 8400만 달러로 최대 규모를 기록했다. 특히 단일 사건 기준으로도 소셜 엔지니어링 기법을 활용한 사기 사례에서 약 2억 8000만 달러 규모의 손실이 발생한 것으로 파악됐다. 이는 공격자가 기술적 결함 공략보다 사용자 신뢰와 심리를 이용하는 방식으로 전략을 이동시키고 있음을 보여주는 사례로 평가된다.
프로젝트 유형별로는 디파이(DeFi) 및 금융 프로토콜 영역에서 피해가 집중됐다. 일부 사건에서는 단일 프로토콜 또는 서비스에서 수백만 달러에서 수천만 달러 규모의 손실이 발생했으며, 상위 몇 건의 대형 사고가 전체 피해액의 상당 부분을 차지하는 집중 구조도 확인됐다. 주소 오염(address poisoning, 피해자 거래 기록과 유사한 지갑 주소를 반복 전송해 착각을 유도하는 수법), 지갑 드레이너(wallet drainer, 악성 서명이나 승인 권한을 통해 지갑 내 자산을 일괄 탈취하는 도구), 위장 사이트를 통한 승인 유도 등 복합 수법도 지속적으로 활용된 것으로 분석됐다.
카테고리별 손실 분포를 보면 피싱과 코드 취약점 악용에 이어 가격 조작, 지갑 탈취, 출구 사기(exit scam) 순으로 피해가 발생했다. 특히 피싱 계열 공격은 단순 링크 클릭을 넘어, 가짜 고객지원, 거래소 사칭, 프로젝트 관계자 사칭 등 다양한 형태로 진화하고 있는 것으로 나타났다.
한편 일부 사건에서는 자금 추적과 대응 조치를 통해 약 430만 달러가 회수된 것으로 집계됐다. 다만 전체 피해 규모 대비 회수 비율은 제한적인 수준에 그쳐, 사전 예방 중심의 보안 관리 필요성이 더욱 커지고 있다는 지적이다.
보안 업계는 최근 공격 흐름이 스마트컨트랙트 자체의 구조적 취약점 공략에서 이용자 행동을 노린 사회공학적 공격으로 이동하고 있다고 분석한다. 이에 따라 개인 키 보관, 서명 요청 검증, 승인 범위 확인, 출처 불명 링크 차단 등 이용자 단의 보안 수칙 준수가 피해 예방의 핵심 요소로 꼽힌다.
![[여기는 현장] “디지털 결제 주도권 경쟁 승부수” 원스코 도입 시급해](https://img.nexblock.co.kr/crop/85/60/1001564.jpg)
![[여기는 현장] 스테이블코인 이용자 보호 "손배 책임 누가 지나"](https://img.nexblock.co.kr/crop/85/60/1001562.jpg)
