40% 검증인 쓰는 ‘네더마인드’… AI, 이더리움 고위험 취약점 선제 발견했다

지난주까지만 해도 인공지능(AI)은 ‘버그 많은 크립토 소프트웨어’를 만들어낸 주범으로 지목됐다. 하지만 이번 주에는 AI가 이더리움(ETH) 핵심 인프라에서 악용되기 전 ‘고위험 취약점’을 찾아내며 정반대 평가를 받았다.

옥테인 시큐리티(Octane Security)는 26일(현지시간) 자사 AI 도구가 이더리움 블록체인을 구동하는 클라이언트 소프트웨어 ‘네더마인드(Nethermind)’에서 심각도 높은 버그를 발견했고, 네더마인드 측이 악용 전에 이를 패치했다고 밝혔다. 네더마인드는 이더리움 검증인(validator) 중 약 40%가 사용하는 실행 클라이언트로, 만약 공격에 노출됐다면 블록 생성이 연쇄적으로 지연되거나 누락돼 네트워크의 ‘가동성(liveness)’과 ‘가용성(availability)’이 흔들릴 수 있었다는 설명이다.

옥테인 시큐리티 창립자 겸 최고경영자(CEO) 조반니 비뇨네(Giovanni Vignone)는 “AI 주도의 취약점 연구가 어떤 ‘높은 판돈’의 영역에서 작동할 수 있는지 보여준 사례”라며 “버그 가설 수립부터 익스플로잇(공격 코드) 검증, 실무 수준 보고서 작성까지 최대 10배 빨라지면서 온체인에 코드를 올리는 모든 조직의 위협 모델이 다시 쓰이고 있다”고 말했다.

이번 발표는 AI 기업 앤트로픽(Anthropic)이 ‘코드베이스의 보안 취약점을 스캔하고, 사람이 검토할 수 있는 형태로 맞춤형 패치까지 제안한다’는 보안 도구를 공개한 지 불과 닷새 만에 나왔다. 당시 사이버보안 관련 종목들이 흔들릴 정도로 시장의 반응이 컸다.

‘AI 코딩’ 확산, 생산성만큼 커지는 보안 리스크

AI는 숙련 개발자가 더 빠르게 코드를 만들 수 있게 하면서 테크 업계 전반을 뒤흔들고 있다. 크립토 업계에서는 인간 개입 없이 거래를 수행하는 ‘에이전트형 AI(agentic AI)’ 구상이 탄력을 받는 분위기다.

하지만 기대만큼 우려도 커지고 있다. 월가에서는 AI가 노동을 대체하고 경제를 급격히 위축시킬 수 있다는 시나리오가 확산되며 변동성을 키우기도 했다. 실제로 이번 주 시트리니 리서치(Citrini Research) 보고서가 논란을 부르자 S&P500 지수는 월요일 하루에만 1% 넘게 하락했다는 전언이다.

사이버보안 측면의 불안도 존재한다. AI가 해커의 공격 역량을 키울 수 있다는 걱정과 함께, 개발자들이 AI가 작성한 코드를 과신한 채 배포해 ‘버그가 있는 소프트웨어’가 늘어날 수 있다는 지적이 반복돼 왔다.

이 우려는 이달 초 디파이(DeFi) 프로토콜 문웰(Moonwell) 사건으로 현실이 됐다. AI가 생성한 코드의 버그로 이용자들이 약 270만달러(약 38억3,724만원·1달러=1,421.20원 기준) 규모의 암호화폐 손실을 입었다. 문웰 측 엔지니어는 문제의 코드가 크립토 보안 기업 할본(Halborn)의 감사를 통과했었다고 언급한 것으로 전해졌다.

문웰 사고 이후 세스 할렘(Seth Hallem) 서토라(Certora) CEO는 DL뉴스에 “AI 코딩이 더 보편화될수록 ‘바이브 코딩(vibe coding)’ 확산이 리스크가 될 수 있다”며 “설계 단계의 투자, 위협 모델링, 정형기법(formal methods), 퍼징(fuzzing), 24시간 모니터링이 모든 웹3 팀에 중요한 조치”라고 말했다.

네더마인드 취약점, ‘변형된 트랜잭션’으로 검증인 흔들 수 있었다

옥테인 시큐리티는 이번 경험이 크립토 보안 투자 흐름을 다시 AI 쪽으로 끌어당길 수 있다고 봤다. 회사는 지난해 이더리움 업그레이드 ‘푸사카(Fusaka)’ 출시를 앞두고, 그노시스(Gnosis)와 리도(Lido)가 후원한 감사 콘테스트에 참여했다. 이 대회는 이더리움 실행 클라이언트(네더마인드 등)에서 버그를 찾아낸 연구자에게 보상을 지급하는 방식으로 진행됐다.

옥테인 시큐리티는 익명의 보안 연구자 ‘구후(Guhu)’와 협업해 AI가 표시한 잠재 버그를 사람이 재검토하는 방식으로 이슈를 제출했다. 그 결과 17건의 이슈를 제출했고, 이 중 16건이 클라이언트 개발팀에 의해 수정됐다. 심각(s​evere) 판정은 9건이었고, 그중 6건은 “독자적으로 발견한 이슈로 추정된다”고 회사는 설명했다. 옥테인 시큐리티는 대회에서 4위를 기록하며 7만633달러(약 1억41만원)를 받았다.

문제가 된 네더마인드 버그는 이후 이더리움 재단(Ethereum Foundation)의 버그바운티 프로그램에도 제보됐다. 옥테인 시큐리티에 따르면 공격자는 ‘변형된 거래(malformed transaction)’를 제출해 네더마인드 기반 검증인의 동작을 방해할 여지가 있었다.

회사는 “변형된 거래가 풀(pool)에 남아있는 동안 네더마인드 기반 제안자(proposer)들이 지속적으로 슬롯을 놓치는 상황이 발생할 수 있었다”며 “이 경우 해당 검증인들은 블록 보상을 놓치고 비활동(inactivity) 페널티를 받을 뿐 아니라, 네트워크 전반의 가동성과 가용성이 악화될 수 있다”고 설명했다.

다만 해당 버그가 실제로 악용된 정황은 없었고, 빠르게 패치가 이뤄졌다. 옥테인 시큐리티는 이더리움 재단으로부터 5만달러(약 7,106만원)의 버그바운티를 받았다고 밝혔다.

비뇨네 CEO는 “AI로 지속적으로 결함을 찾고 고치지 않는다면, 이미 AI를 활용하는 ‘블랙햇’과 경쟁하는 셈”이라고 강조했다.

“AI 코딩 시대, 보안은 선택이 아니라 ‘생존 조건’” 토큰포스트 아카데미에서

네더마인드(Nethermind) 취약점 사례는 분명합니다. AI는 버그를 ‘만들기도’ 하지만, 동시에 악용되기 전 고위험 취약점을 훨씬 빠르게 ‘찾아내는’ 도구가 되고 있습니다. 문제는 지금 이 순간에도, 누군가는 AI로 변형된 트랜잭션(malformed transaction) 같은 공격 시나리오를 자동화하고 있다는 점입니다.

결국 투자자와 실무자 모두에게 중요한 건 하나입니다. “이 프로젝트(혹은 프로토콜)의 리스크는 어디에서 발생하고, 어떤 구조로 터질 수 있는가?”를 구조적으로 읽어내는 능력입니다.

대한민국 1등 블록체인 미디어 토큰포스트가 만든 토큰포스트 아카데미는 ‘보안 리스크가 곧 투자 리스크’가 되는 시대에, 소음이 아닌 데이터와 구조로 판단하는 실전 커리큘럼을 제공합니다.

• 2단계: The Analyst (분석가)에서는 토크노믹스와 온체인 데이터를 기반으로 “무엇을 살 것인가”를 검증하는 법을 배웁니다. 내부자 물량, 인플레이션, 락업 해제 같은 구조적 리스크를 체크해 ‘보이는 덤핑’뿐 아니라 ‘숨은 위험’까지 걸러냅니다.

• 5단계: The DeFi User에서는 스테이킹·렌딩·LP의 원리와 함께, LTV/청산 같은 핵심 리스크 관리 포인트를 다뤄 ‘수익률’보다 먼저 ‘생존’을 설계합니다.

• 6단계: The Professional (선물과 옵션)에서는 변동성 장에서 포트폴리오를 방어(Hedging)하고, 하락장까지 고려한 리스크 관리 프레임을 심화 학습합니다. (초보자 진입 금지 구간)

• 7단계: The Macro Master (거시 경제와 시장 사이클)에서는 유동성, 사이클, 반감기 등 ‘큰 흐름’을 읽는 프레임으로 시장의 변동성을 해석하는 기준을 세웁니다.

AI가 취약점을 더 빨리 “찾는” 시대라면, 우리는 리스크를 더 빨리 “이해하고 회피하는” 쪽으로 진화해야 합니다. 투기보다 검증, 감보다 구조. 토큰포스트 아카데미에서 기준을 만들어보세요.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초부터 매크로 분석, 선물옵션까지 7단계 마스터클래스

첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

- AI가 ‘버그를 만드는 도구’라는 인식에서 ‘핵심 인프라를 지키는 보안 도구’로 재평가되는 전환점이 나타남

- 이더리움 실행 클라이언트(Nethermind)처럼 점유율이 큰 인프라에서의 취약점 발견은 보안 투자와 관심을 다시 ‘AI 기반 보안’으로 끌어당길 촉매

- 앤트로픽의 보안 도구 공개 직후(닷새 만)에 나온 사례로, AI 보안 솔루션 기대감이 단기적으로 더 커질 수 있는 흐름

💡 전략 포인트

- 개발조직/프로토콜: AI 코딩 확산은 속도만큼 결함 유입도 늘리므로, AI를 ‘개발’뿐 아니라 ‘검증(퍼징·정형기법·위협모델링·상시 모니터링)’에 함께 투입해야 함

- 검증인/인프라 운영자: 클라이언트 다변화(특정 클라이언트 쏠림 완화)와 신속한 패치 체계가 네트워크 가동성(liveness) 리스크를 줄이는 핵심

- 투자자/시장참여자: 보안 이슈는 가격 변동보다 네트워크 신뢰·가동성에 직결되므로, ‘취약점 발견 → 패치 속도 → 악용 여부’ 3가지를 체크하는 습관이 중요

📘 용어정리

- 실행 클라이언트(Execution Client): 트랜잭션 실행과 상태(State) 관리를 담당하는 이더리움 핵심 소프트웨어(예: Nethermind)

- 검증인(Validator)/제안자(Proposer): 블록을 제안·검증해 네트워크를 유지하고 보상을 받는 참여자

- 변형된 거래(Malformed Transaction): 규격/형식이 깨진 비정상 트랜잭션으로, 처리 로직의 취약점을 찌르는 데 악용될 수 있음

- 가동성(Liveness)/가용성(Availability): 네트워크가 ‘계속 블록을 만들어 전진하는 성질’(가동성)과 ‘정상적으로 사용 가능한 상태’(가용성)

- 버그바운티(Bug Bounty): 취약점 제보자에게 프로젝트가 보상금을 지급하는 제도

- 퍼징(Fuzzing): 무작위/변형 입력을 대량으로 넣어 크래시나 예외를 유발해 취약점을 찾는 테스트

- 정형기법(Formal Methods): 수학적 검증으로 코드/명세가 의도대로 동작하는지 확인하는 방법

💡 자주 묻는 질문 (FAQ)

Q.

네더마인드(Nethermind) 취약점이 왜 ‘이더리움 전체’에 중요했나요?

네더마인드는 이더리움 검증인 중 약 40%가 사용하는 실행 클라이언트입니다. 만약 이 소프트웨어가 공격에 노출되면 특정 검증인들이 블록 제안을 놓치고(슬롯 미스), 이 현상이 누적되면서 네트워크 가동성(liveness)과 가용성(availability)이 함께 흔들릴 수 있습니다.

Q.

‘변형된 거래(malformed transaction)’는 어떤 방식으로 피해를 만들 수 있나요?

기사 내용에 따르면 공격자가 규격에서 벗어난 비정상 트랜잭션을 제출해 네더마인드의 처리 로직을 교란할 여지가 있었고, 해당 트랜잭션이 풀(pool)에 남아 있는 동안 네더마인드 기반 제안자들이 계속 슬롯을 놓칠 수 있는 시나리오가 제기됐습니다. 그 결과 검증인은 보상을 놓치고 비활동 페널티를 받을 수 있으며, 네트워크 전반 성능도 악화될 수 있습니다.

Q.

AI 코딩이 늘어나면 보안은 좋아지나요, 나빠지나요?

둘 다 가능합니다. AI가 취약점 탐지·보고·패치 제안 속도를 크게 높여 방어에 도움을 줄 수 있는 반면, AI가 만든 코드를 과신해 검증 없이 배포하면 버그가 늘어날 수 있습니다(기사의 문웰(Moonwell) 손실 사례처럼). 그래서 위협 모델링, 정형기법, 퍼징, 24시간 모니터링 같은 검증 절차를 AI 활용과 함께 강화하는 것이 핵심입니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.