출처: 토큰포스트
암호화폐의 핵심 가치는 *금융 자유*지만, 가장 치명적인 약점은 보안이다. 수많은 참여자가 이상적인 자율 시스템을 주장하며 고도 기술을 강조하지만, 정작 인간의 실수를 악용한 해킹과 사기 피해는 계속되고 있다. 그리고 지금까지의 보안 실패는 단순한 사용자 과실이 아닌, 구조적 결함이라는 지적이 점점 힘을 얻고 있다.
2025년 2월 21일, 악명 높은 북한 해킹 조직 라자루스(Lazarus)는 바이비트에서 약 14억 6,000만 달러(약 2조 1,300억 원) 상당의 암호화폐를 탈취했다. 이들은 콜드월렛 접근 권한을 가진 직원들에게 피싱 메일을 보내 인증 정보를 탈취했고, 이후 멀티시그 지갑 계약을 악성 코드로 교체한 뒤 바이비트의 내부 시스템을 속여 49.9만 이더리움(ETH)을 자신들이 관리하는 지갑으로 이동시켰다. 이는 단순한 직원의 실수가 아닌, 인간 취약점을 막지 못하는 *디자인 실패*로 간주된다.
피해는 여기서 그치지 않았다. 범인은 탈취한 자산을 단 10일 만에 탈중앙화거래소(DEX)인 토르체인(THORChain)을 통해 자취를 감췄다. 당시 토르체인은 일주일간 약 46억 6,000만 달러(약 6조 8,000억 원)에 달하는 자산을 처리했지만, 어떤 내부 보호 장치도 작동하지 않았다. 오히려 거래 수수료 수익을 챙기며 자금 세탁에 일조했다는 지적까지 나온다.
일반 사용자들도 예외는 아니다. 2025년 1월까지의 조사에 따르면, 코인베이스 사용자는 일 년에 최소 3억 달러(약 4,380억 원) 이상을 피싱 등 사회공학 기반 공격으로 잃고 있는 것으로 나타났다. 데이터 분석가 잭엑스비티(ZachXBT)와 타누키42는 API 키, 인증 체계 허점 등 근본적 취약점을 해결하지 않은 코인베이스의 태만을 강하게 비판했다. 고객센터의 무기력함과 도난 주소 신고 기능 부족 또한 범죄자들의 자금 흐름 추적을 더욱 어렵게 만들었다.
이런 문제는 개별 사건이 아니라 구조적인 현상이다. 미국 연방수사국(FBI)은 2023년만 해도 56억 달러(약 8조 1,800억 원)의 암호화폐 사기가 발생했다고 밝혔다. 절반 이상이 사회공학 공격으로 발생한 만큼, 인간 심리를 분석해 약점을 파고드는 공격이 얼마나 보편화됐는지 보여준다. 전 세계 6억 명 이상이 암호화폐를 사용하고 있는 현실을 감안하면, 실제 피해액은 2024년 기준 최소 60억~150억 달러(약 8조 7천억 원~21조 9천억 원) 수준에 이른다는 추산도 있다.
이처럼 *보안 위험*은 전 세계 사용자 입장에서 최대 장벽으로 작용한다. 2024년 글로벌 조사에 따르면, 응답자의 37%가 암호화폐를 완전히 수용하는 데 가장 큰 장애물로 보안 우려를 꼽았다. 그러나 산업계는 여전히 밈코인 과열, 고위험 투기 자산 마케팅에 집중하고 있다. 자산 보전은 외면한 채, 플랫폼과 창업자만 수익을 챙기는 구조다.
심지어 업계 내부 고위 관계자조차 공격에 휘말리고 있다. 2024년 1월, 리플 공동창업자 크리스 라센은 온라인 비밀번호 관리 앱에 키를 저장했다가 2억 8,300만 XRP를 탈취당했다. 디파이언스 캐피털 창업자 아서_0x 역시 피싱 PDF 파일을 열었다가 160만 달러(약 23억 3,600만 원) 규모의 NFT와 암호화폐를 도난당했다. 보안 전문가라 불리는 이들도 실수를 범하는 시스템이라면, 일반 사용자가 스스로 자산을 지키는 데는 한계가 뚜렷할 수밖에 없다.
결국, *‘코드가 법’이라는 명분은 현실 세계에선 무책임한 면죄부*로 작용하고 있다. 창업자들은 실사용자의 행동 오류를 개인 책임으로 돌리며 “키는 오프라인에 저장하라”, “주소를 확인하라”는 식의 지침만을 반복한다. 그러나 실제 인간은 피로, 감정, 긴박함 같은 변수에 취약하다. 오히려 수백 년 동안 금융 시스템을 발전시켜온 은행들이 보안 인프라에 집중해온 이유가 여기에 있다. 암호화폐는 이 교훈을 빠르게 따라잡아야 한다.
그럼에도 불구하고, 일부 창업자들은 현실과의 괴리 속에 이상적인 기술 담론만을 전파하고 있다. 비탈릭 부테린은 정치 참여를 독려하며 장문의 기술 낙관주의 선언문을 발표하고, 저스틴 선은 하나의 바나나 미술품을 620만 달러(약 90억 6,000만 원)에 사들이는 데 몰두한다. 반면, 그들이 만든 시스템은 누구나 실수 한 번으로 수억 원을 영영 잃을 수 있는 비상식적인 환경을 계속 방치하고 있다.
정말 기술적으로 진보된 시스템이라면, 사용자를 돌이킬 수 없는 재정적 손실로부터 보호할 수 있어야 마땅하다. 그렇지 않다면 그것은 혁신이 아니라 실험이며, 피해자는 고스란히 사용자 몫이다. 업계가 이 문제를 끝내 외면한다면, 종국에는 *규제당국이 해법을 쥐게 될 것*이다. 그때가 되면 ‘자기 책임’이라는 철학적 이상도 소용없을 것이다. 금융허가 박탈과 플랫폼 폐쇄라는 현실이 덮쳐올 수도 있다.
이제 선택의 시간이다. 업계는 지금이라도 사용자 보호 중심의 시스템을 구축해 본연의 약속을 실현하든지, 아니면 금융혁신을 외치던 목소리가 규제의 굴레 속에서 사라질 날을 기다릴 수밖에 없다. 시간이 많지는 않다.
