코인베이스 ‘x402’, AI 결제 표준으로 급부상…보안 사고로 신뢰 논란

글로벌 암호화폐 거래소 코인베이스(Coinbase) 가 개발한 결제 프로토콜 ‘x402’ 가 인공지능(AI) 결제 시장에서 빠르게 확산되고 있다. x402는 인터넷 표준인 HTTP 402 상태코드(“Payment Required”) 를 활용해, 웹 서비스와 AI 에이전트가 온체인 결제(블록체인 기반 결제) 를 자동으로 수행할 수 있도록 설계된 기술이다.

웹 오류 코드에서 결제 프로토콜로

x402는 기존 웹 구조를 유지하면서 결제 요청을 처리하는 표준화된 API 방식을 채택했다. 데이터를 유료로 제공하는 서버가 402 응답을 전송하면, AI 에이전트나 브라우저는 연결된 지갑을 통해 스테이블코인으로 결제한다. 결제가 완료되면 서버는 즉시 콘텐츠나 연산 결과를 제공한다.

이 과정에서 개발자는 별도의 결제 시스템을 구축할 필요가 없다. 코인베이스는 “x402는 HTTP, JSON, JWT 등 기존 웹 표준을 기반으로 하며, API 호출·GPU 연산·디지털 파일 거래 등 다양한 웹 자원을 판매 가능한 구조를 지원한다”고 설명했다.

구글·이더리움재단 등 글로벌 참여

구글은 지난 9월 AI 결제를 위한 ‘Agent Payments Protocol(AP2)’ 을 공개했으며, 코인베이스는 이를 확장한 ‘A2A x402(Agent-to-Agent)’ 를 공동 개발하고 있다. 프로젝트에는 메타마스크, 이더리움재단 등이 참여하고 있다.

A2A x402는 AI 에이전트가 사용자 승인 하에 스테이블코인으로 결제하고, 거래 기록을 블록체인에 남기는 기능을 제공한다. 구글은 이 프로토콜을 통해 “AI가 상호 거래를 수행할 수 있는 기술적 표준을 마련했다”고 밝혔다.

마스터카드, 페이팔, 아메리칸익스프레스 등 60여 개 글로벌 결제사가 이 협의체에 참여하면서, x402는 AI 결제 표준화 논의의 핵심 기술로 부상했다.

한 달 새 거래량 1만% 증가

시장 조사에 따르면, x402 관련 거래량은 2025년 9월 한 달 동안 약 1만% 증가했다. 토큰포스트 데이터 기준, 주간 고유 거래 사용자는 수천 명에서 수십만 명 수준으로 확대됐다.

카르다노(ADA), 바이낸스(BNB) 등 주요 블록체인이 x402를 통합하면서 AI 기반 소액결제 서비스 확산에 속도가 붙었다. 미국과 유럽에서는 x402 기반 결제 시스템이 시범 운영 중이며, 한국 내 일부 스타트업들도 AI API 결제 자동화를 위한 테스트를 진행하고 있다.

해킹 사고로 보안 우려 제기

10월 27일, x402 기반 크로스체인 프로젝트 ‘402Bridge’ 에서 해킹 사고가 발생했다. 200여 개 지갑이 공격을 받았고, 약 1만7천 달러 상당의 USDC 가 탈취됐다.

블록체인 보안업체 고플러스(Goplus)는 이번 사건의 원인이 “프로젝트 운영팀의 프라이빗키(Private Key) 유출과 관리 권한 이전”에 있다고 밝혔다. 공격자는 관리자 권한을 탈취한 후 transferUserToken() 명령을 실행해 사용자 지갑에서 자금을 이동시킨 것으로 조사됐다.

또한 다수 사용자가 무제한 토큰 승인(Allowance)을 허용한 상태였던 것으로 확인됐다. 전문가들은 “AI 결제 자동화를 구현하려면 사용 권한 관리와 키 보안이 병행돼야 한다”고 지적했다.

커뮤니티, 보안 강화 조치 착수

코인베이스와 x402 커뮤니티는 사고 이후 보안 점검에 착수했다. 코인베이스는 접근 권한을 다중서명(Multi-Sig) 방식으로 전환하고, AI 에이전트용 지갑을 오프라인 서명 구조(Cold Signing) 로 변경했다. API 호출 시 자동 결제 한도에도 제한이 추가됐다.

개발자 커뮤니티는 ‘x402 보안 표준화 제안서(EIP-402-SAFE)’ 를 준비 중이다. 이 제안서는 결제 요청 시 트랜잭션 단위별 인증 절차를 도입하고, 무제한 승인 기능을 폐지하는 내용을 포함한다.

책임 소재 불분명…규제 논의 본격화

이번 사건을 계기로 AI 결제의 법적 책임 구조에 대한 논의도 활발해지고 있다. AI가 사용자의 지갑을 대신해 결제할 경우 오류나 피해가 발생했을 때 책임이 서비스 제공자·프로토콜 개발자·AI 운영자 중 누구에게 있는지 명확하지 않기 때문이다.

미국과 유럽의 금융당국은 AI 결제 프로토콜을 “자율거래 인프라”로 분류하고, 소비자 보호를 위한 가이드라인 제정을 검토 중이다. 업계는 “AI 결제 확산에 따라 거래 안전성과 책임 체계 확립이 필수”라고 보고 있다.

“결제의 언어”로 진화한 402 코드

HTTP 402 상태코드는 1990년대 도입된 이후 거의 사용되지 않았던 웹 표준이었다. x402는 이 코드를 기반으로 AI·블록체인·결제를 연결하는 기술적 문법으로 부활시켰다. 전문가들은 “HTTP가 정보를 연결했다면, x402는 가치를 연결한다”고 평가한다.

AI가 인간을 대신해 결제하고, 블록체인이 그 기록을 남기는 환경이 현실화되고 있다. ‘402 Payment Required’라는 과거의 오류 메시지가 이제 AI 경제의 시작 신호로 다시 주목받고 있다.