웹3 보안 회사인 케르베로스(Kerberus)의 최근 보고서는 인간 행동이 현재 웹3의 주요 위험 요소임을 시사합니다.
비인크립토는 케르베로스의 CEO인 알렉스 카츠와 CTO인 다노르 코헨과 함께 사용자가 계속해서 공격의 피해자가 되는 이유와 자신을 더 잘 보호할 수 있는 방법에 대해 이야기했습니다.
Sponsored케르베로스 보고서 “사람 실수로 웹3 손실 커진다”
“인적 요소 – 실시간 보호는 웹3 사이버 보안의 숨은 계층(2025)”이라는 제목의 최신 보고서에서 케르베로스는 사람 중심의 공격이 웹3에서 구조적으로 가장 위험한 벡터라고 밝혔습니다.
보고서는 사용자 실수가 업계 손실의 상당 부분을 차지한다는 데이터를 인용하고 있습니다. 2024년 암호화폐 도난의 약 44%는 개인 키 관리 실패가 원인이었습니다. 다른 연구에 따르면 보안 침해의 약 60%에 인적 오류가 관여하고 있습니다.
2025년에 8억2000만 개의 활성 지갑과 함께, 위협 환경은 빠르게 확장되고 있으며 누구나 위험에 노출 되어 있습니다. Katz는 BeInCrypto와의 인터뷰에서 악의적인 행위자들이 신입 사용자와 기존 사용자를 모두 겨냥하고 있지만, 그 이유는 매우 다르다고 말했습니다.
“신규 사용자는 ‘정상적인’ 웹3 행위가 어떻게 보이는지 아직 이해하지 못해 매력적입니다”라고 그가 말했습니다.
흥미롭게도, 경영자는 기존 사용자들이 신입 사용자들보다 점점 더 높은 가치 목표가 되고 있다고 언급했습니다. 그의 말에 따르면,
“베테랑 사용자들은 더 많은 dApp을 사용하고, 더 많은 거래를 서명하며, 더 큰 금액을 이동시킵니다. 이는 단 한순간의 방심만으로도 훨씬 더 큰 피해를 줄 수 있음을 의미합니다. 그러므로 오늘날 위험에 가장 많이 노출된 그룹은 자신이 위험에 처해 있지 않다고 가정하는 사람들입니다.”
코헨은 웹3에서 가장 큰 오해 중 하나가 보안 실패가 사용자가 기술을 이해하지 못하기 때문에 발생한다고 믿는 것이라고 밝혔습니다. 그의 분석은 반대 방향을 지적합니다. 사람들은 시스템이 그들에게 비현실적인 부담을 지우기 때문에 해킹당하고 있습니다.
Sponsored Sponsored“사용자들은 ‘나는 지갑을 이해하니 안전해’라고 생각합니다. 그러나 위협 환경은 사용자보다 빠르게 변화합니다. 공격자는 지갑을 능가하려 하지 않고, 사용자를 능가하려 합니다. 그리고 그들은 굉장히 잘합니다. 사람들이 오해하는 것은 웹3가 개인에게 어마어마한 인식 부담을 준다는 것입니다. 사용자가 기술 신호를 해독하지 않아도 안전하도록 자동으로 보안이 작동해야 합니다”라고 그는 언급했습니다.
똑똑한 웹3 사용자들, 왜 2025년에도 계속 손실?
이러한 인적 위험은 2025년 보안 비용이 기록적으로 증가했음에도 불구하고 지속되고 있습니다. 케르베로스의 보고서에 따르면 암호화폐 관련 서비스와 투자자들은 해킹과 사기로 인해 연초부터 31억 달러 이상을 잃었습니다. 이는 이미 2024년 전체 총액보다 많습니다.
이 숫자에는 역사적인 Bybit 침해가 포함됩니다. 이를 제외하더라도 피싱과 사회공학과 같은 사람을 대상으로 한 공격이 여전히 6억 달러를 차지했습니다. 이는 남은 16억4000만 달러 손실의 37%에 해당합니다.
보고서는 채택이 증가함에 따라 이러한 공격이 확장되어 기술적 방어를 완전히 우회한다고 언급했습니다. 이는 전통적인 보안 모델이 이를 방지하기 어렵게 만듭니다.
회사가 감사, 모니터링 및 코드 검토에 많은 투자를 하지만, 공격자들은 점점 더 사용자 자체를 거래 수준에서 직접 악용하고 있습니다. 그러나 무엇이 사람들을 이토록 취약하게 만드는 걸까요?
Sponsored“사람들은 모든 사기가 자연적 심리적 지름길을 악용하도록 설계되어 있기 때문에 취약합니다 — 긴급성, 권위, 친숙함, 무시할 수 없는 유혹, 또는 일상에 대한 편안함. 이것들은 결함이 아니며 매일의 삶에서 우리를 기능하게 하는 본능들입니다. 기술만으로는 인간 심리를 바꿀 수 없지만, 심리가 무기로 사용되는 순간을 감지할 수 있습니다”라고 코헨은 설명했습니다.
그는 사용자들이 실수를 피하기 위해 교육에만 의존하기보다는 피해가 발생하기 전에 실시간으로 유해한 행동을 차단해야 가장 강력한 보호 방식이 이루어진다고 강조했습니다.
“실시간 탐지가 중요한 이유가 바로 이것입니다. 사용자가 신뢰가 조작되는 정확한 순간에 경고할 수 있다면, 대부분의 손실을 그들이 발생하기 전에 막을 수 있습니다”라고 코헨은 강조했습니다.
경영자는 일반 사용자가 악의적인 dApp, 에어드롭, 또 민트 페이지를 구별하도록 기대하는 것은 현실적이지 않다고 지적했습니다. 현대의 사기 플랫폼은 종종 합법적인 것들과 매우 유사하게 보입니다. 이를 거의 구별할 수 없게 만듭니다.
그는 사용자가 피싱 링크를 반복해서 클릭할 수 있다고 덧붙였습니다. 이는 부주의 때문이 아니라 공격이 의도적으로 속이도록 설계되어 있기 때문입니다.
심지어 실시간 경고조차 때때로 오탐으로 보이며, 이러한 사기의 고급스러움을 부각시킵니다.
Sponsored Sponsored“사용자에게 포렌식 검사를 수행하도록 기대해서는 안 됩니다. 실시간으로 의도와 행동을 분석하는 도구로 부담이 전환되어야 합니다”라고 코헨은 제안했습니다.
보고서는 또한 이러한 공격이 사용자가 위협을 평가할 수 없는 순간을 악용한다고 말합니다. 누군가가 일을 하다가 산만한 상태로 지갑을 확인할 때, 계좌가 동결될 것이라 주장하는 긴급 메시지에 반응할 때, 또는 피곤한 하루를 마무리하며 거래를 승인할 때와 같은 순간에 발생할 수 있습니다.
발견에 따르면 업계의 대응은 주로 경고 및 확인 단계를 추가하는 것입니다. 하지만 이 접근 방식은 종종 “보안 피로”로 인해 역효과를 일으킵니다. 사용자가 끊임없는 알림에 익숙해짐에 따라— 이는 단순히 그들의 속도를 느리게 하는 잘못된 경고일 수 있습니다 — 그들의 신중한 결정을 내릴 수 있는 능력이 지속적인 인식 압박 아래에서 줄어듭니다.
유저가 웹3에서 안전해지는 3가지 방법
현실 세계의 손실을 줄이기 위해 Katz는 사용자가 채택할 수 있는 세 가지 실천법을 공개했습니다. 그는 사용자들에게 다음을 권장했습니다:
- 서명 전에 잠시 멈추세요: 대부분의 침해는 10초 이내에 발생합니다. 프롬프트를 읽거나 요청이 원하는 행동과 일치하는지 확인하기 위해 잠깐이라도 시간을 가지면 많은 성공적인 공격을 예방할 수 있습니다.
- 고가 자산을 일상 활동과 분리하세요: 여러 지갑을 사용하는 것은 가장 효과적인 보호책 중 하나입니다. 사용자가 장기 보유 자산은 콜드 또는 저접촉 지갑에 보관하고 탐색, 민트, dApps용으로는 별도의 지갑을 사용할 것을 제안합니다. 이러한 구획화는 잠재적 피해를 제한합니다.
- 실시간 거래 보호에 의존하세요: 많은 위협이 기술적인 공격보다는 사회 공학적 방법을 포함하기 때문에, 사용자는 체인이 종료되기 전에 온체인 행동을 해석하는 도구로부터 이익을 얻습니다. 이 단일 방어 층은 보다 발전된 사기의 많은 부분을 차단합니다.
그는 사용자들을 보안 전문가로 만들려는 것이 아니라, 실수를 재정적 손실로 이어지지 않게 하는 안전 장치를 만드는 것이 목표임을 강조했습니다.
