이더리움, AI로 보안 점검했지만…가짜 버그 판별이 더 큰 과제

| 강이안 기자

이더리움(ETH) 재단이 네트워크 보안 강화를 위해 인공지능(AI) 에이전트를 투입했지만, 실제 취약점보다 ‘가짜 버그’를 가려내는 일이 더 큰 과제로 떠올랐다.

이더리움 재단은 최근 프로토콜 보안 점검 과정에서 AI 에이전트를 활용해 소프트웨어 전반을 테스트하고 취약점을 탐색했다. 그 결과 일부 실제 버그가 발견됐지만, 동시에 사실처럼 보이는 ‘허위 취약점’이 대량으로 생성되면서 인간 검증의 중요성이 다시 부각됐다.

이더리움 네트워크는 수천 개 노드가 동일한 블록체인 데이터를 공유하고 메시지를 주고받는 구조로 작동한다. 이 위에서 검증자(Validator)가 이더를 스테이킹하고 블록의 유효성을 판단한다. 메시지 전달이 중단되면 검증자 역시 정상적으로 작동할 수 없다.

AI가 찾아낸 치명적 오류…하지만 더 큰 문제는 ‘판별’

이번 테스트에서 발견된 실제 취약점은 네트워크 메시지 전파 프로토콜인 ‘고십섭(gossipsub)’에서 발생했다. 해당 결함은 외부 시스템이 원격으로 노드를 충돌시키는 것을 가능하게 했고, 이로 인해 검증자가 오프라인 상태로 전환될 수 있었다.

이 버그는 ‘CVE-2026-34219’로 등록되며 신속히 수정됐다. 그러나 핵심 문제는 AI가 제시한 수많은 결과 중 무엇이 ‘진짜 취약점’인지 구별하는 데 있었다.

니코스 박세바니스(Nikos Baxevanis)는 “버그를 찾는 데 들어간 시간보다 진짜와 가짜를 구분하는 데 훨씬 더 많은 노력이 필요했다”고 설명했다.

그럴듯한 ‘허위 버그’ 3가지 유형

이더리움 재단은 반복적으로 나타난 허위 취약점 패턴을 세 가지로 정리했다.

첫째는 실제 운영 환경에서는 발생하지 않는 테스트용 오류다. 컴파일 단계에서만 활성화되는 안전 검사로 인해 발생하는 충돌로, 실제 사용자 환경에서는 문제가 되지 않는다.

둘째는 외부 공격이 불가능한 취약점이다. 특정 위험 값이 내부적으로 강제로 삽입될 때만 작동하며, 실제 입력 경로에서는 사전에 차단된다.

셋째는 형식 검증(Formal Verification) 과정에서 발생하는 ‘의미 없는 증명’이다. 코드의 안전성을 입증하는 대신, 단순히 자명한 사실을 증명하는 수준에 그쳐 실질적인 검증이 이뤄지지 않는다.

이러한 사례는 모두 테스트처럼 보이지만 실제로는 아무것도 검증하지 않는 ‘빈 껍데기 테스트’다. AI는 이를 매우 설득력 있는 문장과 논리로 만들어내며, 진짜 취약점과 구분하기 어렵게 만든다.

AI의 한계…‘연속적 공격’에는 여전히 취약

또 다른 문제는 AI가 단일 시점의 오류 분석에는 강하지만, 여러 단계에 걸친 공격 시나리오에는 약하다는 점이다.

최근 디파이(DeFi) 해킹 사례 상당수는 각각은 정상적인 행동처럼 보이는 여러 트랜잭션이 결합되면서 발생한다. 예를 들어 이달 초 발생한 에델 파이낸스(Edel Finance) 해킹은 체인링크(LINK) 가격 피드를 우회하는 방식으로 이뤄졌고, 봉크(BONK) 거버넌스 공격 역시 토큰 매수, 투표, 실행이라는 정상 절차를 악용했다.

이처럼 ‘순서’가 핵심인 공격은 개별 단계만 보면 문제가 없기 때문에 AI가 탐지하기 어렵다.

AI는 보조 수단…결국 판단은 인간 몫

이더리움 재단은 해결책으로 AI가 의심되는 시나리오를 제안하면, 이를 실제 테스트로 검증하는 방식을 제시했다. 즉 AI는 탐색 도구로 활용하되, 최종 판단은 인간 전문가가 맡는 구조다.

이번 사례는 블록체인 보안 영역에서 AI 활용 가능성을 보여주는 동시에, ‘자동화된 신뢰’의 한계를 드러낸다. 특히 이더리움(ETH)처럼 대규모 가치가 걸린 네트워크에서는 여전히 인간의 정밀한 검증이 핵심 역할을 유지할 것으로 보인다.


기사요약 by TokenPost.ai

🔎 시장 해석
이더리움 재단이 AI를 활용해 보안 점검을 강화했지만, 실제 취약점보다 ‘그럴듯한 오탐’을 걸러내는 비용이 더 크게 드는 한계가 드러났다.
특히 네트워크 핵심 프로토콜(gossipsub)에서 원격 노드 다운을 유발할 수 있는 실제 취약점이 발견되며, 여전히 보안 리스크는 존재함이 재확인됐다.
AI는 생산성을 높이지만 ‘자동화된 신뢰’는 아직 시기상조라는 신호로 해석된다.

💡 전략 포인트
AI 기반 보안 도구는 ‘탐색’에는 효과적이지만 ‘판단’은 여전히 인간의 영역이다.
오탐(False Positive)을 줄이는 검증 프로세스 설계가 향후 보안 경쟁력의 핵심 요소로 부상한다.
디파이 및 스마트컨트랙트 프로젝트는 단일 취약점이 아닌 ‘공격 시나리오(순서 기반)’ 검증 역량을 강화해야 한다.
기관 및 개발팀은 AI + 인간 하이브리드 보안 체계를 구축하는 것이 현실적인 대응 전략이다.

📘 용어정리
gossipsub: 블록체인 네트워크에서 노드 간 메시지를 전파하는 통신 프로토콜
Validator(검증자): 블록을 검증하고 네트워크 합의에 참여하는 노드 운영 주체
오탐(False Positive): 실제로는 문제가 없지만 취약점으로 잘못 탐지된 경우
형식 검증(Formal Verification): 코드의 안전성을 수학적으로 증명하는 기법
시퀀스 공격: 여러 정상적인 트랜잭션을 조합해 악의적 결과를 만드는 공격 방식

💡 자주 묻는 질문 (FAQ)

Q. AI가 찾은 버그는 왜 바로 믿으면 안 되나요? AI는 매우 그럴듯한 보고서를 생성하지만, 실제 환경에서는 재현되지 않는 경우가 많습니다. 특히 테스트 환경에서만 발생하거나 외부 공격자가 활용할 수 없는 조건을 전제로 한 ‘가짜 취약점’이 많기 때문에, 반드시 인간 전문가의 검증이 필요합니다. Q. 이번 gossipsub 취약점은 얼마나 위험한 문제였나요? 해당 취약점은 외부에서 특정 메시지를 보내 노드를 다운시킬 수 있는 수준이었기 때문에, 검증자 노드를 오프라인 상태로 만들 수 있는 위험이 있었습니다. 다만 빠르게 발견 및 패치가 이루어져 실제 피해로 이어지지는 않았습니다. Q. 앞으로 AI는 블록체인 보안에서 어떤 역할을 하게 되나요? AI는 취약점 후보를 빠르게 탐색하고 다양한 공격 시나리오를 제안하는 보조 도구로 활용될 가능성이 큽니다. 하지만 최종 검증과 위험 판단은 여전히 인간 전문가가 담당하는 ‘하이브리드 구조’가 표준으로 자리잡을 것으로 보입니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

많이 본 기사

지금 꼭 알아야 할 리포트