AI가 흔드는 디파이 보안…‘모든 DeFi는 안전하지 않다’ 논란 확산

인공지능(AI)이 탈중앙화금융(DeFi)의 보안을 근본적으로 흔들고 있다는 경고가 커지면서, 크립토 업계에서 ‘DeFi는 원래 안전하지 않다’는 주장과 ‘방어 체계를 새로 짜야 한다’는 반론이 맞서고 있다.

13일 코인텔레그래프에 따르면 오픈제플린(OpenZeppelin) 창업자 마누엘 아라오즈(Manuel Aráoz)는 X에 “모든 DeFi는 안전하지 않다”고 적으며, AI 코딩 에이전트가 스마트컨트랙트 취약점을 더 쉽게 찾아내고 있다고 지적했다. 그의 발언은 즉시 논쟁을 불렀고, 디파이 해킹의 핵심 원인이 코드 결함인지, 아니면 더 넓은 운영·보안 체계의 문제인지에 대한 시각차가 드러났다.

이번 논란은 지난 4월 잇따른 디파이 보안 사고와도 맞물린다. 당시 월간 암호화폐 피해액은 2025년 2월 이후 가장 큰 규모로 불어났고, 일부 보안 분석가들은 이를 ‘에이전틱 AI’의 확산과 연결 짓고 있다. AI가 공격자의 탐색 속도와 자동화를 높이면서, 취약점 악용의 진입장벽이 낮아졌다는 설명이다.

“AI를 써서 AI를 막아야”

블록체인 보안업체 슬로우미스트(SlowMist) 창업자 위셴(Yu Xian)은 아라오즈의 주장에 대해 AI 기반 공격이 이중 위협을 만들고 있다고 경고했다. 그는 AI 도구를 활용하는 ‘블랙햇’ 해커와, 소셜 엔지니어링에 능한 조직형 공격 세력이 동시에 커지고 있다고 봤다.

위셴은 디파이 프로젝트 팀이 실시간 코드와 데브옵스(개발·운영) 과정에서 보안 위험을 찾아내는 고도화된 AI 도구를 서둘러 도입해야 한다고 강조했다. 또 온체인과 오프체인 공격 경로를 모두 아우르는 정기 점검이 필요하다고 말했다. 그는 자동화된 공격 역량이 계속 진화하는 만큼, 디파이 팀도 ‘블랙햇보다 더 철저하고 집요해야 한다’고 덧붙였다.

“DeFi만 유독 취약하다기보다, 구조적으로 열려 있다”

블록체인 보안 플랫폼 사이버스(Cyvers)의 공동창업자이자 최고기술책임자(Meir Dolev)는 아직 AI가 실제로 해킹을 직접 실행했다는 공개 포렌식 증거는 제한적이라고 선을 그었다. 다만 체이널리시스(Chainalysis)와 미 연방수사국(FBI)이 AI를 활용한 암호화폐 사기 확산을 경고한 만큼, 더 넓은 추세는 분명하다고 봤다.

그는 디파이가 특히 노출되기 쉬운 이유로 코드가 공개돼 있고, 자금 이동이 빠르며, 계약이 서로 맞물려 작동하는 ‘컴포저빌리티’ 구조를 꼽았다. 공격자는 단 하나의 실수만 찾아내도 성공할 수 있다는 것이다. 특히 스마트컨트랙트 로직, 관리자 키, 데브옵스, 웹 프런트엔드, 서명 절차, 그리고 사람을 노리는 사회공학까지 모든 구간이 공격 표면이 될 수 있고, AI는 이 과정을 더 빠르고 넓게 만들 수 있다고 그는 설명했다.

도레브는 그러나 디파이를 포기하는 것이 해법은 아니라고 했다. 그는 정기 감사만으로는 부족하다며, AI 보조 코드 리뷰와 레드팀 훈련, 데브옵스 강화, 키 관리 개선, 실시간 거래 시뮬레이션, 서명 전 위험 평가 같은 ‘상시 보안’ 체계로 전환해야 한다고 제안했다. 디파이가 여전히 고칠 수 있는 구조이지만, 보안이 출시 전 체크리스트가 아니라 실행 단계의 지속적 통제 장치가 돼야 한다는 의미다.

AI가 디파이의 취약점을 더 잘 드러내는 것은 분명하지만, 업계의 시선은 이미 ‘불안정한 실험’에서 ‘지속적 방어 체계’로 옮겨가고 있다. 결국 디파이의 생존 여부는 기술 자체보다, AI 시대에 맞는 보안 설계를 얼마나 빠르게 구축하느냐에 달려 있다.

---

기사요약 by TokenPost.ai

🔎 시장 해석
AI 발전으로 스마트컨트랙트 취약점 탐색 속도가 급격히 빨라지며 DeFi 보안 리스크가 구조적으로 확대되고 있음
단순 코드 결함을 넘어 운영·키 관리·사용자 행위까지 포함한 ‘전체 공격 표면’ 문제가 부각
DeFi는 폐쇄형 시스템이 아닌 공개형 구조이기 때문에 공격자에게 유리한 환경이 지속됨

💡 전략 포인트
정적 감사 중심에서 벗어나 실시간 모니터링 기반 ‘상시 보안 체계’로 전환 필요
AI를 공격 대응 도구로 적극 활용하는 ‘AI vs AI’ 보안 전략 중요
레드팀 훈련, 키 관리 강화, 서명 전 위험 탐지 등 운영 전반의 보안 고도화 필수
프로젝트 경쟁력은 기술보다 ‘보안 대응 속도’에서 갈릴 가능성 확대

📘 용어정리
에이전틱 AI: 스스로 작업을 계획하고 실행하는 AI 시스템으로, 공격 자동화에 활용 가능
컴포저빌리티: 여러 스마트컨트랙트가 결합되어 서비스가 구성되는 DeFi 특성
레드팀 훈련: 실제 해커처럼 공격을 시뮬레이션해 방어 체계를 점검하는 보안 테스트 방식

💡 자주 묻는 질문 (FAQ)

Q. AI가 DeFi 보안에 왜 이렇게 큰 영향을 주나요? AI는 코드 분석과 취약점 탐색을 자동화하고 속도를 크게 높여줍니다. 특히 에이전틱 AI는 여러 공격 시나리오를 동시에 실험할 수 있어, 해커가 더 빠르고 효율적으로 약점을 발견할 수 있게 만듭니다. Q. 그렇다면 DeFi는 원래부터 위험한 구조인가요? DeFi는 코드가 공개되어 있고 자금 이동이 빠르며 여러 서비스가 연결된 구조라 공격 표면이 넓습니다. 그래서 작은 실수 하나도 큰 피해로 이어질 수 있지만, 이는 구조적 특성이지 반드시 실패한 시스템이라는 의미는 아닙니다. Q. 앞으로 DeFi 프로젝트는 어떻게 대응해야 하나요? 단발성 보안 감사에서 벗어나 실시간 감시와 대응이 가능한 상시 보안 체계를 구축해야 합니다. AI 기반 코드 리뷰, 거래 시뮬레이션, 키 관리 강화 등 운영 전반에서 지속적으로 위험을 관리하는 방식이 중요해지고 있습니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.