ISO/IEC 42001 첫 획득…크립토닷컴·코인베이스, 'AI 에이전트가 거래하는 시장' 선점전 돌입

크립토 결제·거래 플랫폼 크립토닷컴(Crypto.com)이 인공지능(AI) 분야 확장을 본격화하는 가운데, 국제 AI 관리 체계 인증을 획득하며 ‘AI-크립토 융합’ 전략에 속도를 내고 있다. 경쟁사 코인베이스(Coinbase)까지 가세한 가운데, 암호화폐 거래를 대신 수행하는 ‘AI 에이전트’ 시장 선점 경쟁이 거세지는 모양새다.

크립토닷컴은 자사 AI 시스템 관리 체계에 대해 국제 표준 ‘ISO/IEC 42001:2023’ 인증을 받았다고 밝혔다. 이 표준은 기업이 AI 관리 시스템을 어떻게 설계·구축·운영해야 하는지를 규정한 첫 글로벌 규격으로, 디지털 자산 플랫폼이 이를 취득한 것은 크립토닷컴이 처음이라는 설명이다. 회사는 최근 AI 에이전트 플랫폼 ‘ai.com’과 개발자용 소프트웨어 개발 키트(SDK), 맞춤형 데이터 서비스를 연달아 출시하며, AI를 결제·거래·데이터 사업과 나란히 놓는 핵심 축으로 삼고 있다.

제이슨 라우(Jason Lau) 크립토닷컴 정보보안 총괄은 “보안과 프라이버시는 특히 AI 기반 인프라와 서비스를 확장해 나가는 과정에서 핵심 초점”이라며, 이번 인증이 “우리가 개발·배포하는 모든 AI 시스템이 안전하고 투명하며, 새로 등장하는 규제 기대치에 부합하도록 설계됐다는 점을 의미한다”고 강조했다. AI가 직접 암호화폐를 다루는 구조인 만큼, 보안·데이터 보호에 대한 국제 기준을 선제적으로 맞추려는 포석으로 풀이된다.

크리스 마르샬렉(Kris Marszalek) 크립토닷컴 공동창업자 겸 CEO는 이번 인증을 “AI 도구와 기술을 적극 활용하는 과정에서 중요한 이정표”라고 평가했다. 그는 크립토닷컴의 장기 목표를 “자율적으로 스스로 개선하는 AI 에이전트들이 분산 네트워크를 이루어, 실제 세상에서 인간을 돕는 업무를 수행하도록 만드는 것”이라고 설명했다. 단순 챗봇 수준을 넘어, 거래와 업무 자동화 등 ‘실사용’을 전제로 한 AI 인프라를 구축하겠다는 의미다.

크립토닷컴이 2월 9일 선보인 AI 에이전트 플랫폼 ‘ai.com’은 이용자가 직접 AI 에이전트를 생성해 일상 업무를 자동화하도록 돕는 서비스다. 유저는 이 에이전트에게 트레이딩, 업무 흐름 관리 등 반복 업무를 맡길 수 있고, 개발자는 SDK와 데이터 서비스를 활용해 자신만의 AI 기반 애플리케이션을 구축할 수 있다. 회사는 이 플랫폼을 크로노스(CRO) 기반 생태계와 연동해, 장기적으로는 AI 에이전트가 온체인 상에서 거래·결제·자산 관리를 수행하는 구조를 지향하고 있다.

AI 에이전트는 인간 개입 없이 스스로 의사결정과 거래를 수행하는 소프트웨어로, 24시간 열려 있는 암호화폐 시장에서 ‘속도’와 ‘반응성’ 측면에서 경쟁 우위를 제공할 수 있다는 기대를 받고 있다. 특히 시장 구조와 유동성을 실시간 학습·개선하는 자율형 에이전트는, 기존 자동매매 봇보다 한 단계 진화한 형태라는 평가도 나온다. 다만 이러한 구조는 보안 사고 발생 시 대규모 자금 유출로 이어질 수 있어, 크립토닷컴이 AI 관리 국제 표준을 앞서 확보한 것도 이 같은 리스크를 의식한 행보로 볼 수 있다.

경쟁 거래소인 코인베이스 역시 AI 전용 인프라를 서둘러 내놓으며 추격에 나섰다. 코인베이스는 2월 11일 AI 에이전트가 직접 암호화폐를 ‘쓰기·벌기·거래’할 수 있도록 설계된 지갑 인프라를 공개했다. 코인베이스와 크립토닷컴 모두, 사람이 명령을 내리지 않아도 AI 에이전트가 스스로 트랜잭션을 생성·서명·전송하는 ‘AI-온체인 자동화’ 구조를 지향한다는 점에서 방향성은 유사하다.

한편 코인텔레그래프의 팟캐스트 ‘Byte-Sized Insight’에서는 2025년을 기점으로 AI, 로봇, 블록체인이 결합되는 ‘머신 이코노미(machine economy)’ 트렌드가 본격화하고 있다고 진단했다. 피크(peaq) 공동창업자 레오나르트 도를뢰히터(Leonard Dorlöchter)는 “실물 기반 AI와 에이전트 표준이 등장하면서, 기계와 기계가 온체인에서 직접 상호작용하고 보상을 주고받는 구조가 현실화되고 있다”고 말했다. 에너지 공유, 로봇 운영, 자산 소유권 분할 등 다양한 영역에서 토큰화된 기계가 등장하고 있다는 설명이다.

도를뢰히터는 2025년을 기점으로 “기초 체력과 실제 수익을 만들어내는 프로젝트만이 살아남는 방향으로 시장이 이동하고 있다”며, AI·로봇·온체인을 잇는 디파인(DePIN) 및 머신 이코노미 프로젝트들이 조용히 성과를 내고 있다고 평가했다. 동시에 그는 “웹3가 성숙해지는 대신, 초기의 탈중앙화 정신을 일부 잃어가고 있다”고 지적하며, 규제와 거버넌스가 어떻게 설계되느냐에 따라 AI-블록체인 결합 모델의 방향도 달라질 수 있다고 내다봤다.

이처럼 크립토닷컴과 코인베이스를 비롯한 주요 사업자들이 앞다퉈 AI 에이전트 인프라를 구축하는 이유는, 24시간 돌아가는 암호화폐 시장에서 ‘사람의 시간을 쓰지 않고도’ 고도화된 전략을 실행할 수 있는 수단이기 때문이다. 다만 AI가 직접 온체인 거래를 처리하는 구조는 오작동·해킹·데이터 조작 같은 리스크도 함께 키운다. 규제 당국 역시 AI 모델의 투명성과 책임 소재, 자금세탁방지(AML) 규제 준수 여부 등을 어떻게 담보할지에 대한 기준 마련을 서두르고 있다.

이번 ISO/IEC 42001:2023 인증은 크립토닷컴이 AI를 단순 보조 기능이 아닌, 플랫폼 핵심 인프라로 끌어올리겠다는 선언에 가깝다. AI 에이전트와 로봇, 온체인 거래가 결합된 ‘머신 이코노미’ 논의가 확산되는 만큼, 누가 먼저 신뢰할 수 있는 AI 관리 체계를 구축하느냐가 향후 경쟁 구도의 분수령이 될 가능성이 크다. AI와 암호화폐의 융합이 실사용까지 이어질지 여부는, 기술 구현과 더불어 보안·규제·거버넌스라는 숙제를 어떻게 풀어내느냐에 달려 있다는 평가다.

하드웨어 월렛 노린 ‘종이 편지 피싱’ 재발…트레저·레저 이용자 주의보

하드웨어 월렛 업체 트레저(Trezor)와 레저(Ledger) 이용자들을 겨냥한 ‘우편 피싱’ 사기가 다시 고개를 들고 있다. 수년 전 발생한 고객 정보 유출 여파가 채 가시지 않은 가운데, 공격자들이 실제 우편을 통해 시드 구문(복구 문구)을 빼내려는 시도를 반복하면서 물리적 보안 리스크가 재차 부각되고 있다.

사이버보안 전문가 드미트리 스밀야네츠(Dmitry Smilyanets)는 2월 13일 자신의 SNS를 통해 트레저 명의의 의심스러운 편지를 받았다고 처음 제보했다. 편지에는 이용자에게 2월 15일까지 ‘인증 점검(Authentication Check)’을 완료하지 않으면 기기 사용이 제한될 수 있다는 문구가 적혀 있었다. 겉보기에는 홀로그램까지 부착된 공식 안내문처럼 꾸며져 있었고, 서명도 실제 트레저 CEO인 마티에이 자크(Matěj Žák)의 이름을 도용하면서 직함을 ‘레저 CEO’라고 잘못 표기하는 등 교묘한 혼선을 노렸다.

편지에 포함된 QR 코드를 스캔하면, 피해자는 레저·트레저 초기 설정 페이지처럼 꾸며진 피싱 사이트로 이동하게 된다. 이 사이트는 지갑 복구를 위한 시드 구문 입력을 요구하고, 사용자가 이를 입력하면 백엔드 API를 통해 공격자에게 그대로 전송되는 구조다. 공격자는 탈취한 시드 구문으로 피해자의 지갑을 자신의 기기로 재구성해, 그 안에 보관된 비트코인(BTC), 이더리움(ETH), 크로노스(CRO) 등 암호화폐를 그대로 빼낼 수 있다.

레저 이용자는 지난해 10월에도 유사한 우편 피싱을 겪었다. 당시 공격자는 편지에서 ‘의무적인 거래 점검(Transaction Check)을 완료하라’고 요구하며, 미실시 시 계정 제한 가능성을 언급했다. 이번에 보고된 트레저 편지 역시 표현만 조금 바꾼 같은 수법으로, 물리 우편을 통해 위기감을 조성한 뒤 QR 코드 스캔을 유도하는 전형적인 사회공학 공격에 해당한다.

하드웨어 월렛 업체들은 공식적으로 “어떠한 경우에도 시드 구문이나 복구 문구를 웹사이트, 이메일, 메신저, 우편 등 어떤 방식으로도 요구하지 않는다”고 재차 강조하고 있다. 그럼에도 불구하고 공격자들이 실제 우편과 홀로그램, 로고 등을 정교하게 위조하면서, 암호화폐를 오래 보유한 장기 투자자일수록 ‘오래된 주소 정보’를 발판으로 한 공격에 노출될 수 있다는 지적이 나온다.

이번 사태의 배경에는 과거 레저와 제3자 파트너사에서 발생한 대규모 고객 정보 유출 사고가 있다. 이 과정에서 고객의 이메일뿐 아니라 이름, 주소 등 배송 정보까지 유출되며, 실제 물리적 협박과 강도 위험이 제기된 바 있다. 트레저 역시 2024년 1월 약 6만 6,000명 고객의 연락처 정보가 노출되는 보안 사고를 겪었다. 이처럼 누적된 데이터 유출이 수년이 지난 뒤에도 각종 피싱·사기 공격의 ‘주소록’으로 활용되고 있는 셈이다.

2021년에는 공격자들이 레저 나노(Ledger Nano) 기기를 모방한 가짜 하드웨어 월렛을 실제로 피해자에게 배송한 사례도 있었다. 2020년 레저 데이터 유출 당시 피해를 입은 고객들을 대상으로, 정품과 흡사한 모조 기기를 보내 시드를 입력하도록 유도해 자산을 탈취한 것이다. 여기에 더해 2025년 4월에는 QR 코드 스캔을 유도하는 물리 우편 피싱이 보고됐고, 5월에는 가짜 ‘레저 라이브(Ledger Live)’ 애플리케이션이 등장해 사용자들의 시드 구문을 빼내는 공격이 포착됐다.

레저는 지난해 10월 자사 웹사이트를 통해 물리 우편 피싱 공격에 대한 경고 공지를 올리고, 이용자들에게 출처가 불분명한 우편물·앱·이메일에 적힌 링크와 QR 코드는 절대 사용하지 말 것을 당부했다. 특히 QR 코드는 스마트폰으로 쉽게 스캔할 수 있는 만큼, ‘의무 점검’ ‘계정 정지’ 같은 문구가 적힌 편지와 결합할 경우 심리적 압박으로 이어지기 쉽다는 점을 지적했다.

하드웨어 월렛을 통해 자산을 장기 보관하는 투자자들 입장에서는, 오프라인 보관만으로는 충분하지 않다는 교훈이 반복해서 확인되고 있다. 장치 자체는 안전하더라도, 시드 구문을 보관하는 사용자 쪽이 사회공학 공격에 노출되는 순간, 그 어떤 암호화 기술도 무력화될 수 있기 때문이다. 업계는 이번 사례를 계기로, 제조사 수준의 보안 강화와 더불어 이용자 교육·경고 시스템을 촘촘히 구축하는 것이 필수라는 점을 재확인하고 있다. 암호화폐 시장이 커질수록, 공격자의 수법도 실제 우편·가짜 앱·AI 기반 피싱 등 더 정교해질 수밖에 없다는 점에서, 이용자 개인의 ‘기본 보안 수칙 준수’가 무엇보다 중요해지고 있다.