슈워츠 진화에도 남은 의문…지캐시 오차드 취약성, 신뢰 회복 분기점

리플(Ripple) CTO 출신 데이비드 슈워츠(David Schwartz)가 지캐시(Zcash, ZEC) ‘오차드(Orchard)’ 취약성 사태에 대해 입을 열었지만, 시장의 불안을 완전히 잠재우지는 못했다. ‘움직이지 않은 보유 물량은 안전하다’는 발언은 사실이지만, 그 전제가 성립하는지 자체가 확인 불가능하다는 점에서 논쟁은 남아 있다.

6월 7일 슈워츠는 지캐시 커뮤니티 불안에 대해 비교적 신중한 입장을 내놓았다. 그는 “코인을 한 번도 이동하지 않은 보유자는 자산을 잃지 않는다”고 설명했다. 다만 ‘취약점이 실제로 악용되지 않았을 경우’라는 조건을 전제로 했다. 이 한 문장이 시장에서 핵심 쟁점으로 떠올랐다.

문제의 시작은 5월 29일 공개된 오차드 풀 취약성이다. 해당 버그는 위조된 지캐시(ZEC)를 생성하면서도 검증을 통과할 수 있는 구조적 결함이었다. 이후 긴급 대응으로 6월 2일 NU6.2 하드포크가 적용되며 기술적 문제는 봉합됐다. 하지만 이 취약점이 약 4년간 존재했다는 사실이 드러나면서 시장 신뢰는 흔들렸다.

실제 가격도 즉각 반응했다. 지캐시는 공개 직후 하루 만에 30% 이상 급락했고, 한 달 내 최저 수준까지 밀렸다. 이는 ‘해킹 발생’이 아닌 ‘확인할 수 없는 리스크’ 자체를 반영한 움직임이다.

오차드 취약성…문제의 본질은 ‘검증 불가능성’

오차드 풀은 2022년 5월 도입된 지캐시의 최신 프라이버시 계층이다. ‘Halo 2’ 기반 zk-SNARK 기술을 활용해 보안성과 익명성을 강화한 구조다. 하지만 이 구조 내부 연산 과정에서 검증 조건이 충분히 설정되지 않은 결함이 발견됐다.

엔지니어 테일러 혼비(Taylor Hornby)는 2026년 5월 해당 취약점을 발견했고, 실제로 무제한 ZEC 생성이 가능한 익스플로잇을 재현하는 데 성공했다. 특히 문제는 이 공격이 발생하더라도 네트워크상에서 이를 구별할 방법이 없다는 점이다.

지캐시 특유의 ‘완전한 익명성’ 구조가 오히려 공급량 검증을 불가능하게 만든 셈이다. 개발진 역시 “암호학적으로 악용 여부를 판단할 수 없다”고 공식 인정했다.

즉, 취약점은 수정됐지만 과거 4년간 발행된 ZEC가 온전히 정상인지 확인할 수 있는 방법은 영구적으로 사라진 상태다.

슈워츠 발언의 의미…그리고 한계

논쟁은 X(구 트위터)에서 활동하는 크립토 분석가 ‘네이트(@satorinakamoto)’의 문제 제기로 촉발됐다. 그는 “취약점이 실제로 사용되지 않았다는 것을 어떻게 증명할 수 있느냐”고 지적했다.

이에 슈워츠는 “이전 풀은 점차 사용되지 않겠지만, 여전히 안전하게 접근 가능하다”고 답했다. 그의 핵심 논리는 합의 규칙이 유지되는 한 기존 코인은 유효하다는 것이다.

하지만 이 발언은 어디까지나 ‘조건부 사실’이다. 취약점이 실제로 악용되지 않았다는 가정이 필요하기 때문이다. 문제는 이 조건을 누구도 검증할 수 없다는 데 있다.

슈워츠의 기술적 해석은 타당하다. 다만 그것이 ‘확실성’을 제공하지는 못한다. 시장이 반응한 지점도 바로 이 간극이다.

결국 이번 사태는 단순한 보안 이슈를 넘어, 프라이버시 코인 구조 자체의 한계를 드러낸 사건으로 평가된다. ‘익명성’과 ‘검증 가능성’ 사이의 충돌이 현실화된 가운데, 지캐시(ZEC)에 대한 시장의 신뢰 회복 여부가 향후 핵심 변수로 남게 됐다.

TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.