CertiK, AI Auditor 출시… 실제 취약점 88.6% 탐지·낮은 오탐율 구현

4월 7일, 글로벌 최대 Web3 보안 기업 CertiK은 AI 기반 감사 도구 AI Auditor를 출시하고, AI 개발 에이전트(AI Coding Agents)를 위한 오픈소스 통합 솔루션을 함께 공개했다. 해당 시스템은 초기에는 내부 보안 전문가를 위한 보조 도구로 개발되었으며, 6개월 이상의 실제 환경 검증을 거쳐 이번에 외부에 공식적으로 공개됐다. CertiK에 따르면, 2026년 발생한 35건의 실제 Web3 보안 사고를 대상으로 한 평가(해당 테스트 데이터는 모델 학습이나 지식 베이스 구축 과정에서 완전히 배제됨)에서 AI Auditor는 전체 취약점 원인의 88.6%를 정확히 식별했다. 이 시스템은 설계 단계부터 ‘높은 신호 대비 잡음비’를 핵심 원칙으로 삼아, 높은 탐지 성능을 유지하면서도 오탐을 크게 줄이는 데 초점을 맞췄다.

AI 개발 도구와 에이전트가 Web3 개발팀의 표준 도구로 자리 잡으면서, 업계의 보안 패러다임 역시 ‘사후 탐지’에서 ‘개발 전 과정에 내재된 보안’으로 빠르게 전환되고 있다. CertiK AI Auditor는 기존에 프로젝트 후반 단계에서 수행되던 보안 감사를 개발 워크플로우에 통합된 지속적 기능으로 전환했으며, 개발자가 별도의 환경 전환 없이도 온체인 보안 인사이트를 실시간으로 확보할 수 있도록 했다. 이를 통해 신규 위협에 대한 대응 속도 또한 크게 단축했다.

‘취약점 발견’에서 ‘핵심 리스크 식별’로

기존의 취약점 탐지 도구는 대체로 ‘노이즈가 과도하게 높은’ 문제를 안고 있다. 대량의 오탐은 개발자의 부담을 가중시킬 뿐만 아니라, 실제로 중요한 고위험 문제를 가리는 요인으로 작용할 수 있다. 반면 CertiK의 AI Auditor는 ‘저노이즈·고신호’ 보안 인사이트에 초점을 맞춰, 개발팀이 보다 이른 단계에서 실질적으로 중요한 보안 리스크를 식별하고 대응할 수 있도록 지원한다. 이를 통해 개발 생명주기의 초기 단계에서부터 효과적인 리스크 관리가 가능해진다.

CertiK 공동 창립자 룽후이 구는 “이제 업계의 관심은 ‘AI가 취약점을 발견할 수 있는가’가 아니라, ‘AI가 개발팀이 주목해야 할 핵심 보안 문제를 얼마나 빠르게 식별할 수 있도록 돕는가’에 있다”고 밝혔다. 이어 “AI Auditor는 대량의 오탐을 효과적으로 걸러냄으로써 보다 실행 가능한 고품질 신호를 제공하며, 이를 통해 보안을 기존 개발 프로세스의 병목 요소에서 Web3 팀의 생산성을 가속하는 요소로 전환시킬 수 있다”고 강조했다.

핵심 역량: 다단계 검증 메커니즘과 위협 지식 베이스

AI Auditor는 CertiK의 독자 기술인 ‘다단계 검증기(Multi-Stage Validator)’ 시스템을 기반으로 구동된다. 해당 시스템에 내장된 MultiScanner 프레임워크는 단일 AI 모델에 의존하지 않고, 여러 전문화된 스캐너를 동시에 실행하는 구조를 갖추고 있다. 초기 분석 결과가 생성된 이후, 검증기는 경보를 다중 단계로 중복 제거하고, 취약점의 ‘의미적 유효성’과 ‘실제 악용 가능성’을 교차 검증함으로써 실질적인 위협이 아닌 불필요한 정보를 걸러낸다. 그 결과 개발자에게는 실제 위험성을 지닌 핵심 보안 이슈만 선별적으로 제공된다.

또한 AI Auditor에는 지속적으로 업데이트되는 위협 지식 베이스가 내장돼 있다. 실제 공격 사례, 현장 감사에서 발견된 취약점, 최신 공격 패턴 등을 구조화된 데이터로 축적해, AI Auditor가 추론 과정에서 최신 위협 정보를 직접 활용할 수 있도록 했다. 이를 통해 정적 모델 학습으로 인한 데이터 지연 문제를 효과적으로 보완했다.

전문가를 대체하는 것이 아닌 협업하는 AI

적용 측면에서 CertiK은 AI Auditor가 인간 보안 전문가를 대체하기 위한 도구가 아니라, 협업을 위한 보조 도구로 설계됐다고 밝혔다. AI Auditor는 기본적인 취약점 탐지, 사전 감사(pre-audit) 분류, 지속적인 모니터링 등의 업무를 수행함으로써, 보안 전문가가 복잡한 취약점과 프로토콜 수준의 리스크 분석에 집중할 수 있도록 지원한다.

또한 AI Auditor는 모듈형 설계 구조를 갖추고 있어, 프로젝트의 개발 언어, 시스템 아키텍처, 위험 특성에 따라 맞춤형 적용이 가능하다. 이에 따라 DeFi 프로토콜을 비롯한 다양한 기관급 애플리케이션 환경에도 폭넓게 활용될 수 있다.

한편 AI Auditor는 CertiK의 장기 AI 전략 로드맵의 핵심 구성 요소로 자리 잡았다. CertiK은 현재 추가 기능 개발을 진행 중이며, 향후 보안 역량을 개발자 도구, 컴플라이언스 프로세스, 기관급 모니터링 시스템 전반에 통합해 Web3 보안 인프라를 지능화·통합화된 방향으로 고도화해 나갈 계획이라고 밝혔다.