서틱, RWA 보안 보고서 발표… “보안, 법률·운영 리스크까지 포괄적으로 평가 필요”

블록체인 보안 전문 기업 서틱(CertiK)이 실물연계자산(RWA) 시장의 복합적인 보안 리스크를 심층 분석한 ‘2025 스카이넷 RWA 보안 보고서’를 발간했다. 보고서는 RWA 토큰화가 전통 금융(TradFi)과 디파이(DeFi)의 리스크를 결합한 새로운 보안 패러다임을 만들고 있다고 지적했다. 또한 실물 자산과 관련된 법률 및 운영상의 위험까지 포괄적으로 점검하는 새로운 접근 방식이 필요하다고 설명했다.

보고서는 RWA의 보안을 평가하기 위해서는 기존의 스마트 컨트랙트 코드 감사만으로는 부족하며 완전히 새로운 접근법이 필요하다고 강조했다. 이는 RWA가 마치 ‘실물 자산에 대한 디지털 등기부등본’과 같기 때문이다. 디지털 파일(토큰)의 암호가 아무리 강력해도 기반이 되는 실물 자산에 문제가 있거나 법적 효력이 없다면 무용지물이 될 수 있다.

이에 서틱은 RWA의 잠재적 위험을 종합적으로 점검하기 위한 ‘5단계 보안 스택’ 모델을 제시했다. 서틱은 △실물 자산 자체의 가치와 진위(자산 계층) △토큰의 법적 소유권 보장(법률 계층) △자산을 관리하는 수탁 기관 등 운영사의 신뢰도(운영 계층) △자산 가치를 평가하는 외부 데이터의 정확성(데이터 계층) △토큰을 발행하고 거래하는 스마트 컨트랙트의 기술적 보안(온체인 계층)까지 전 과정을 점검해야 한다고 설명했다.

보고서는 RWA 관련 보안 사고의 양상도 뚜렷하게 변화하고 있다고 분석했다. 총 1790만달러의 손실을 기록한 지난 2023년에는 골드핀치(Goldfinch)의 대출 채무불이행(700만달러) 등 오프체인 신용 리스크가 손실의 주요 원인이었다.

반면 총 1460만달러 손실을 기록한 2025년 상반기는 루프스케일(Loopscale)의 오라클 조작(580만달러)과 조스 프로토콜(Zoth Protocol)의 개인 키 유출(850만달러) 등 온체인 기술 및 운영 실패가 주요 손실 원인으로 지적됐다. 이는 위협의 초점이 전통 금융의 리스크에서 RWA 생태계의 핵심 기술 자체로 옮겨가고 있음을 시사한다.

이러한 환경 속에서 블랙록(BlackRock)의 ‘BUIDL’, 프랭클린 템플턴(Franklin Templeton)의 온체인 펀드 등 전통 금융 기반 프로토콜이 서틱의 RWA 보안 점수 리더보드에서 최상위권을 차지했다.

보고서는 이들 최상위 프로토콜의 강점이 바로 견고한 ‘오프체인 신뢰 시스템’에 있다고 분석했다. 이들은 △기관 수준의 엄격한 규제 준수(컴플라이언스) △전문적인 자산 보관(수탁) △투명한 정보 공개 원칙을 바탕으로 신뢰할 수 있는 법적·운영 기반을 갖추고 있다.

보고서는 바로 이러한 오프체인의 안정성이 온체인 자산을 보호하는 핵심 요인이라고 평가했다. 리더보드 상위 5위권에 함께 이름을 올린 △온도(ONDO)의 OUSG △팍소스(Paxos)의 PAXG △테더(USDT)의 XAUt 역시 이러한 높은 기준을 충족하며 그 안정성을 증명했다.

마지막으로 보고서는 RWA 시장의 가치와 리스크가 소수의 블록체인과 프로토콜에 집중되는 현상을 지적했다. 2023년 이후 발생한 RWA 관련 전체 손실액의 56.6%가 이더리움(ETH)에서 발생했으며 아발란체(AVAX·28.3%), 솔라나(SOL·15.1%)가 그 뒤를 이었다.

이는 RWA 시장 전체의 건전성이 이들 핵심 참여자들의 보안 및 운영 안정성에 크게 의존하고 있음을 의미한다. 보고서는 이들 중 한 곳의 실패는 단순히 개별 프로젝트의 문제를 넘어 시장 전체의 시스템 리스크로 번질 수 있다고 지적했다.