제트캐시, ‘무제한 위조’ 취약점 공개에 45% 급락… 신뢰 회복 과제

제트캐시(ZEC)가 ‘무제한 위조 가능’ 취약점 공개 여파로 하루 만에 약 45% 급락했다. 프라이버시 기술의 핵심 구조에서 발생한 문제라는 점에서 시장 충격이 컸다.

5일 공개된 개발자 보고서에 따르면 제트캐시 창립자 주코 윌콕스(Zooko Wilcox)와 핵심 연구진은 ‘오차드(Orchard)’ 실드 풀에서 중대한 취약점을 발견하고 긴급 패치를 완료했다고 밝혔다. 해당 결함은 공격자가 감지되지 않은 상태로 ‘가짜 ZEC’를 무한 생성할 수 있는 가능성을 내포하고 있었다.

발표 직후 시장은 즉각 반응했다. 제트캐시는 600달러(약 92만 원) 선에서 300달러(약 46만 원) 수준까지 급락하며 수 시간 만에 절반 가까이 하락했다.

발단은 5월 말 발견된 치명적 결함

이번 취약점은 보안 연구원 테일러 혼비(Taylor Hornby)가 지난 5월 29일 오차드 회로를 점검하던 중 발견했다. 그는 실디드 랩스(Shielded Labs)의 의뢰로 프로토콜 보안 감사를 수행 중이었다.

특히 이번 발견에는 앤트로픽의 AI 모델 ‘Opus 4.8’이 활용됐다. AI 기반 분석과 전통적인 보안 연구를 결합한 결과, 단 하루 만에 핵심 결함이 드러났다. 이후 해당 내용은 제트캐시 오픈 개발 랩(ZODL)에 전달됐고, 생태계 전반의 긴급 대응을 통해 6월 2일 패치가 완료됐다.

‘무제한 발행’ 가능성… 공급 신뢰 흔들

문제의 핵심은 ‘언더컨스트레인드(under-constrained)’ 오류다. 이는 특정 검증 과정이 충분히 제약되지 않아, 잘못된 입력값이 정상처럼 통과되는 구조적 허점을 의미한다.

이 결함을 악용할 경우 타원곡선 연산 과정에 위조 데이터를 삽입해도 유효한 거래로 승인될 수 있다. 실제 테스트에서는 탐지 불가능한 ‘위조 ZEC’가 사실상 무제한 생성된 것으로 확인됐다.

제트캐시는 비트코인(BTC)처럼 최대 발행량이 2100만 개로 제한된 구조다. 이 전제가 무너질 경우, 자산 가치의 근간 자체가 흔들릴 수 있다.

프라이버시의 역설… “악용 여부 확인 불가”

더 큰 문제는 제트캐시의 ‘프라이버시 설계’다. 오차드는 송신자, 수신자, 거래 금액을 모두 숨기는 구조로 설계돼 있다.

이로 인해 취약점이 실제로 악용됐는지 확인할 방법이 없다. 연구진도 “악용 가능성은 낮지만, 이를 ‘증명할 방법도 없다’”고 밝혔다.

해당 취약점은 오차드가 도입된 2022년 5월 이후 약 4년간 존재해온 것으로 추정된다.

개발진 “악용 가능성 낮다”… 하지만 신뢰 회복 과제

연구진은 세 가지 근거를 들어 실제 악용 가능성은 낮다고 평가했다. 첫째, 수년간 다수의 보안 검토에도 발견되지 않았던 점, 둘째, 이번 발견이 고도로 집중된 연구 과정에서 나온 결과라는 점, 셋째, 발견 후 빠르게 패치가 이뤄졌다는 점이다.

다만 이들은 사용자들에게 ‘맹목적 신뢰’를 요구하지 않는다며, 보다 공식적인 신뢰 회복 절차가 필요하다고 강조했다.

네트워크 업그레이드 검토… 공급 검증 구조 도입 가능성

현재 실디드 랩스와 개발진은 새로운 실드 풀 도입과 함께 ‘턴스타일 회계(turnstile accounting)’ 방식을 검토 중이다. 이는 기존 풀에서 새로운 풀로 자산을 이동시키며 총 공급량을 검증하는 구조다.

해당 업그레이드는 커뮤니티 합의를 통해 진행될 예정이다.

AI가 바꾼 보안 패러다임

이번 사건에서 주목할 부분은 AI의 역할이다. Opus 4.8은 단독으로 취약점을 찾은 것은 아니지만, 전문가의 분석을 보조하며 탐지 속도를 크게 끌어올렸다.

이는 향후 암호학 기반 시스템에서 AI가 ‘핵심 보안 도구’로 자리잡을 가능성을 시사한다. 특히 작은 오류 하나가 치명적 결과로 이어지는 블록체인 구조에서 그 영향력은 더욱 커질 전망이다.

이번 사태는 제트캐시(ZEC)의 기술적 강점이자 리스크인 ‘프라이버시’의 양면성을 드러냈다. 시장은 단기적으로 충격을 받았지만, 향후 신뢰 회복을 위한 구조 개선이 핵심 변수로 작용할 것으로 보인다.