지캐시, 'ZEC 무제한 위조' 치명적 취약점 공개에 폭락…4년 묵은 버그, AI가 찾아냈다

프라이버시 코인 지캐시(ZEC)가 '무제한 위조 발행'이 이론적으로 가능했던 치명적 취약점의 세부 내용이 공개되면서 하루 만에 30% 넘게 폭락했다. 해당 버그는 2022년 5월부터 4년간 존재해 왔으며, 앤트로픽의 최신 AI 모델 '클로드 오퍼스 4.8'을 활용한 보안 감사 과정에서 발견된 것으로 확인됐다. 패치는 완료됐지만 오차드(Orchard) 풀의 프라이버시 특성상 과거 악용 여부를 암호학적으로 증명할 방법이 없다는 점이 시장 불안을 키우고 있다.

■ 발견 하루 만에 '위조 ZEC' 익스플로잇 작동…발견 주역은 AI

쉴디드랩스(Shielded Labs)와 지캐시오픈개발랩(ZODL)에 따르면, 보안 엔지니어 테일러 혼비(Taylor Hornby)는 지난 5월 29일 지캐시의 차폐 풀인 오차드의 암호학적 회로에서 치명적 위조 취약점을 발견했다. 혼비는 출시 하루 전인 5월 28일 공개된 클로드 오퍼스 4.8을 자체 구축한 AI 감사 프레임워크에 결합해 오차드 회로를 정밀 검토하던 중 결함을 포착했다.

https://t.co/v7BiOdzU9E

— zooko🛡🦓🦓🦓 ⓩ (@zooko) June 4, 2026

문제의 버그는 타원곡선 곱셈 검증에 허위 입력값을 통과시킬 수 있는 결함으로, 거래의 유효성을 암호학적으로 검증하는 수학적 장치 자체를 속일 수 있었다. 혼비는 실제 작동하는 익스플로잇(공격 코드)을 제작해 로컬 테스트 환경에서 무제한 위조 ZEC 생성에 성공했다. 연구진은 "같은 도구를 메인넷에서 실행했다면 추적 불가능한 위조 ZEC가 무제한으로 그의 지갑에 생성됐을 것"이라고 밝혔다.

ZODL은 즉각 비상 대응에 착수해 6월 2일 소프트포크로 오차드 거래를 일시 차단한 뒤, 6월 3일 수정된 회로를 적용한 하드포크 'NU6.2'를 활성화해 취약점을 영구 차단했다. 2016년 네트워크 출범 이후 보안 사유로 단행된 두 번째 긴급 업그레이드다.

■ 시총 30억 달러 증발…아서 헤이즈 "ZEC 전량 매도"

기술적 봉합에도 시장의 반응은 차가웠다. ZEC는 공개 직후 24시간 동안 30% 이상 하락했고, 주중 고점 대비 낙폭은 한때 50%에 육박했다. 시가총액은 30억 달러 이상 증발했다. 최근 두 달간 강한 상승세를 이어오며 '프라이버시 코인 랠리'를 주도했던 종목이라는 점에서 충격이 더 컸다.

투자 심리 악화에는 거물 투자자의 이탈도 한몫했다. 비트멕스(BitMEX) 공동창업자 아서 헤이즈는 "오차드 풀 익스플로잇 때문에 안타깝게도 ZEC 물량 전부를 처분해야 했다"고 밝혔다. 그는 이번 주 함께 매도한 하이퍼리퀴드(HYPE), 니어프로토콜(NEAR)을 묶어 "삼위일체는 죽었다"고 표현했다. 다만 헤이즈는 위조 ZEC가 실제로 발행됐을 가능성은 낮다고 보면서도 "불가능하다고 암호학적으로 증명할 수 없다는 게 문제"라고 지적했다.

쟁점은 바로 이 '증명 불가능성'이다. 오차드 풀은 거래 내역을 완전히 은닉하도록 설계돼 있어, 패치 이전에 누군가 취약점을 악용했는지 여부를 온체인에서 확인할 방법이 없다. 다만 지캐시재단은 풀 간 자금 이동을 추적하는 '턴스타일(turnstile)' 회계 장치 덕분에 ZEC 전체 발행량 상한 자체는 훼손되지 않았으며, 무단 가치 생성의 증거도 없다고 밝혔다. 쉴디드랩스 역시 "버그가 수년간 전문가 검토를 피해 갈 만큼 미묘했고, 이번 발견도 최첨단 도구와 AI를 동원한 고도의 의도적 작업이었다"며 과거 악용 가능성을 크게 우려하지 않는다는 입장이다.

쉴디드랩스는 현재 지캐시 개발진과 함께 누구나 ZEC 공급량의 무결성을 검증하고 오차드 풀 내 위조 토큰의 부존재를 증명할 수 있는 후속 네트워크 업그레이드를 추진하고 있다.

■ ZK 프라이버시의 구조적 딜레마…"5개월마다 반복되는 공포"

업계에서는 이번 사태가 지캐시만의 문제가 아니라는 분석이 나온다. 솔라나 인프라 기업 헬리우스(Helius)의 메르트 뭄타즈 최고경영자(CEO)는 "거의 모든 프라이버시 프로토콜이 이와 유사한 취약점 변종을 안고 있다"며 "프라이버시 풀의 작동 원리를 새로 배우는 사람들이 생길 때마다 5개월 주기로 같은 공포(FUD)가 반복된다"고 말했다. 영지식증명(ZK) 기반 프라이버시 프로토콜 대부분이 회로 버그로 인한 이론적 위조 리스크를 내재하고 있으며, 이는 악용도 탐지도 어렵다는 설명이다.

실제 지캐시는 2018년에도 영지식증명 기반 암호 체계에서 유사한 위조 취약점이 발견된 전례가 있다. 당시 개발사 일렉트릭코인컴퍼니(ECC)가 이를 비공개로 수습해 2019년 손실 없이 해결한 바 있다. 프라이버시를 극대화할수록 공급량 검증 가능성이 희생되는 구조적 트레이드오프가 8년째 같은 형태로 반복되고 있는 셈이다.

■ 'AI 보안 감사' 시대의 개막…국내 시장 함의는

이번 사건의 또 다른 함의는 AI가 블록체인 보안 감사의 판도를 바꾸고 있다는 점이다. 수년간 다수의 전문가 검토를 통과해 온 암호학 회로의 결함을, 최신 AI 모델을 결합한 감사 도구가 출시 하루 만에 찾아냈다. 이는 화이트해커의 생산성을 비약적으로 높이는 동시에, 같은 도구가 공격자의 손에 들어갈 경우 위협의 속도 역시 가속화될 수 있음을 시사한다. 향후 주요 프로토콜의 보안 감사에서 AI 활용이 표준으로 자리 잡을 가능성이 커졌다는 평가다.

한편 국내 투자자에게 미치는 직접적 영향은 제한적이다. ZEC를 비롯한 프라이버시 코인은 특정금융정보법(특금법)상 자금세탁 우려로 2021년 이후 국내 주요 원화 거래소에서 상장폐지된 상태다. 다만 해외 거래소를 통해 프라이버시 코인 랠리에 올라탄 국내 투자자들의 경우 이번 급락의 직격탄을 피하기 어려웠을 것으로 보인다. 프라이버시 코인 섹터 전반의 신뢰 문제로 번질 경우, 최근 글로벌 시장에서 재점화된 '디지털 자산 프라이버시' 내러티브 자체가 시험대에 오를 수 있다는 관측도 나온다.