디파이가 다시 주목받는 지금, 왜 위험부터 살펴야 할까
암호화폐 시장이 회복세를 보이면서 디파이(DeFi, 탈중앙 금융) 프로토콜로 자금을 옮기려는 움직임이 다시 늘고 있다. 디파이 전체 예치금(TVL)은 2022년 1,800억 달러에서 2023년 380억 달러까지 떨어진 뒤, 2025년 들어 다시 1,200억 달러 수준까지 회복했다. 연 5~20%에 달하는 이자나 유동성 공급 보상이 매력적으로 보이지만, 이 수익률 뒤에는 전통 금융에서는 만나기 어려운 형태의 위험이 동시에 자리한다.
디파이는 은행이나 증권사를 거치지 않고, 스마트 컨트랙트라는 자동화 프로그램이 예치·대출·환전·이자 지급을 처리한다. 중개자가 없으니 수익률이 높을 수 있지만, 사고가 발생했을 때 환불을 책임질 주체 또한 없다. 한국 금융감독원의 분쟁조정 대상이 아니고, 예금자 보호법의 적용도 받지 않는다. 시작하기 전에 위험을 정확히 파악해 두지 않으면, 수익이 발생하기도 전에 원금부터 사라질 수 있다는 뜻이다.
실제로 발생한 손실 — 숫자로 본 디파이 사고들
지난 4년간 디파이 분야에서 해킹과 익스플로잇으로 사라진 자금은 100억 달러를 넘는다. 대표적인 사례만 봐도, 2022년 로닌 네트워크에서 6억 달러, 2022년 노매드 브릿지에서 1.9억 달러, 2023년 유로 파이낸스에서 1.3억 달러가 해킹으로 빠져나갔다. 이용자가 잘못한 부분이 전혀 없어도 프로토콜 자체의 코드 취약점 하나로 예치금이 한순간에 사라지는 구조다.
코드 취약점만이 문제가 아니다. 2022년 5월 테라·루나 사태에서는 알고리즘 스테이블코인 UST의 디페그(가격 고정 실패)가 하루 만에 일어났고, 일주일 사이 약 400억 달러에 달하는 시가총액이 증발했다. 디파이 프로토콜인 앵커(Anchor)에 UST를 예치하고 연 19%의 이자를 받던 이용자들은 이자는 물론 원금까지 통째로 잃었다. 사고의 원인은 외부 해킹이 아니라, 가격 안정 메커니즘 자체가 시장 충격을 견디지 못한 설계 결함이었다.
수익률 뒤에 가려진, 자주 놓치는 함정들
디파이 수익률을 볼 때 가장 자주 놓치는 것이 임퍼머넌트 로스(비영구적 손실)다. 두 토큰을 일정 비율로 풀(pool)에 예치하고 거래 수수료를 받는 방식인데, 가격이 한쪽으로 크게 움직이면 단순히 들고만 있었을 때보다 자산이 줄어든다. 토큰 가격이 한쪽 방향으로 5배 움직이면 임퍼머넌트 로스는 약 25%에 달한다. 표시된 연이율이 30%라도 가격 변동에 따른 손실이 더 크면 결과적으로 마이너스 수익이 되는 셈이다.
스마트 컨트랙트 승인(approve) 권한도 자주 잊히는 부분이다. 디파이 서비스를 한 번 이용하면 해당 컨트랙트가 내 지갑의 특정 토큰을 무제한으로 인출할 수 있는 권한을 그대로 갖게 된다. 이용을 그만뒀더라도 권한을 회수하지 않으면, 그 컨트랙트가 나중에 해킹당했을 때 내 지갑 잔액까지 함께 빠져나간다. 실제로 2023년 한 한국 이용자는 1년 전 잠깐 사용한 프로토콜의 권한 때문에 약 4,300만 원 상당의 자산을 잃은 사례가 보고된 바 있다.
이 외에도 가격을 조작하는 오라클 공격, 거버넌스 토큰을 매집해 프로토콜 자금을 빼가는 거버넌스 공격, 익명 개발팀이 자금을 들고 사라지는 러그풀(rug pull)까지, 전통 금융에는 존재하지 않는 형태의 위험이 줄지어 있다.
그래도 접근하고 싶다면 — 위험을 줄이는 현실적 원칙
먼저, 디파이에 넣는 자금은 잃어도 생활에 지장이 없는 금액으로 한정해야 한다. 통상 전체 자산의 5% 이하가 권장되며, 보수적으로 본다면 1~3% 정도가 적절하다. 둘째, 감사(audit) 보고서가 공개돼 있고 1년 이상 안정적으로 운영된 프로토콜만 고려한다. 디파이라마(DeFi Llama) 같은 사이트에서 TVL 변화와 감사 이력을 확인할 수 있다.
셋째, 한 프로토콜에 자금을 몰지 말고 여러 곳에 분산한다. 한 곳이 해킹당해도 전체 자산이 사라지지 않도록 하는 가장 단순한 방법이다. 넷째, 사용을 마친 컨트랙트의 토큰 권한은 즉시 회수한다. Revoke.cash 같은 도구로 지갑별 승인 내역을 일괄 정리할 수 있다. 다섯째, 시드 문구(seed phrase)는 종이에 적어 오프라인으로 보관하고, 온라인 기기·클라우드·메신저에는 절대 저장하지 않는다.
스테이블코인 예치를 고려한다면, 알고리즘형이 아니라 USDC·USDT처럼 실물 자산이 1:1로 뒷받침되는 종류만 사용하는 편이 안전하다. 알고리즘 스테이블코인은 테라·루나 사태에서 본 것처럼, 한순간에 가격이 무너질 수 있는 구조적 취약성을 안고 있다.
시작 전 반드시 점검할 핵심 체크포인트
정리하자면, 디파이는 예금자 보호 대상이 아니라는 점, 표시된 연이율은 임퍼머넌트 로스와 토큰 가격 변동을 반영하지 않은 명목 수치라는 점, 한 번 자금이 잘못된 컨트랙트로 흘러가면 되돌릴 방법이 거의 없다는 점, 이 세 가지는 자금을 옮기기 전에 반드시 머릿속에 새겨두어야 할 사실들이다.
수익률만 보면 매력적이지만, 같은 수치를 만들어 내는 위험이 함께 있다는 사실을 잊으면 안 된다. 충분한 학습 없이 큰 자금을 옮기는 것은 투자라기보다 도박에 가깝다. 디파이를 활용하더라도, 잃어도 되는 자금에서 시작하고, 위험을 여러 프로토콜로 분산하고, 컨트랙트 권한 회수 같은 보안 습관을 일상화하는 것이 결국 내 자금을 지키는 가장 확실한 방법이다.
