리플, XRPL 노드 중단 유발 버그 패치…새 GPG 키 신뢰 절차 논란

리플(Ripple)이 XRP 레저(XRP Ledger) 핵심 서버 소프트웨어인 ‘rippled’ 3.1.2를 배포하며, 퍼블릭(외부 노출) 노드에서 가동 중단으로 이어질 수 있는 취약점을 손봤다. 다만 이번 업데이트는 단순 버전 교체가 아니라, 노드 운영자가 리플의 ‘새 GPG 서명 키’를 내려받아 ‘신뢰(trust)’ 목록에 추가해야 한다는 전제 조건이 붙으면서 XRPL 운영 구조의 ‘의존성’ 논의도 다시 고개를 들었다.

XRP 레저 재단(XRP Ledger Foundation)은 공지를 통해 “가능한 한 빨리 업데이트하라”는 입장을 내놨다. 핵심은 패키지 서명 검증에 쓰이는 리플의 GPG 키가 교체됐다는 점이다. 재단은 기존 설치 환경에서 새 키를 신뢰하지 않으면 설치·업그레이드 과정이 ‘조용히 실패(silently fail)’할 수 있다며, 운영자들이 선제적으로 키를 등록해 리스크를 차단해야 한다고 강조했다.

이번에 수정된 결함은 특정 ‘엣지 케이스(edge case)’에서 서버가 원장 일부 상태를 잘못 처리하며 내부 오류 처리 루틴인 ‘LogicError’를 호출할 수 있다는 내용이다. LogicError는 설계상 abort를 유발해 프로세스를 즉시 종료시키는 구조여서, 복구 절차로 이어지기보다 노드가 멈춰 서는 방향으로 문제를 키울 수 있다. 재단도 해당 이슈가 퍼블릭 노드에서 ‘아웃티지(outage)’를 초래할 수 있다고 경고했다. 수정 작업에는 리플X 엔지니어 마유카 바다리(Mayukha Vadari)가 참여한 것으로 알려졌다.

리플은 변경 사항을 예외 처리를 다듬는 ‘리팩터(refactor)’로 설명했지만, 개발 문서에는 엣지 케이스에서 시스템이 중단되는 대신 정상적으로 반환(return)하도록 하는 데 초점이 맞춰져 있다. 외부 노드 운영자 입장에서는 단발성 오류가 전체 서비스 중단으로 번지는 것을 막는 ‘안정성 패치’ 성격이 강하다는 평가가 나온다.

패치 적용의 전제 조건…‘리플 새 GPG 키 신뢰’가 핵심

노드 운영자들이 가장 주목해야 할 대목은 소프트웨어 본체보다도 배포 체계다. 다수 운영자가 리플이 제공하는 패키지를 통해 rippled를 설치·업데이트하는 만큼, 새로 교체된 GPG 서명 키를 신뢰 목록에 추가하지 않으면 업데이트가 정상 반영되지 않을 수 있다. 이번에 공개된 새 키는 “TechOps Team at Ripple” 명의로 발급됐고 만료 시점은 2033년으로 설정돼 있다.

rippled가 XRPL에서 사실상 유일한 ‘프로덕션급’ 서버 구현체로 통용된다는 점은 이번 이슈의 파장을 키우는 요인이다. 결과적으로 네트워크 안정성 확보를 위해서는 상당수 참여자가 리플의 암호학적 신원(GPG 서명 키)을 신뢰해야 하는 구조가 된다. 시장에서는 이 지점이 브래드 갈링하우스(Brad Garlinghouse) 리플 CEO가 반복해온 “리플은 XRP를 통제하지 않는다”는 메시지와 별개로, 실무적 운영 측면에서는 ‘중앙화된 배포 신뢰 모델’이 작동하고 있음을 보여준다는 해석이 재부상한다.

국제 매체들도 같은 쟁점을 병렬로 다뤘다. 코인데스크(CoinDesk)와 더블록(The Block) 등은 퍼블릭 노드 크래시를 유발할 수 있는 LogicError 버그 수정이라는 ‘기술적 안정성’ 측면을 부각했고, 프로토스(Protos) 등은 새 GPG 키 신뢰 절차가 XRPL의 거버넌스 및 운영 영향력을 드러낸다고 짚었다.

XRPL 안정성 논란 재점화…잇단 버그 이력과 기관 채택 변수

XRPL은 최근 몇 년간 안정성 논란이 반복됐다. 2024년 9월에는 SQLite 관련 문제로 ‘풀 히스토리(full history) 노드’에서 크래시 사례가 보고됐고, 이후 악성 트랜잭션이 캐싱 취약점을 악용해 노드를 다운시킬 수 있었던 정황도 거론됐다. 2025년 2월에는 약 1시간 동안 네트워크 블록 생성이 멈춘 전력이 있으며, 이번 패치 직전에도 AI 보안 도구가 또 다른 ‘치명적 결함’을 포착했다는 소식이 전해진 바 있다. 국제 미디어는 이번 사안을 이 같은 이력의 연장선에서 조명하고 있다.

이번 결함은 프랑스 파리에 기반을 둔 비영리 단체 XRPL 커먼즈(XRPL Commons) 소속 인원들이 발견해 책임 공개(responsible disclosure) 방식으로 공유됐다. 릴리스 노트에는 뤽 보카우(Luc Bocahut), 로맹 테포(Romain Thépaut), 토마스 위세네(Thomas Hussenet)의 기여가 반영됐다. 악용 사례 없이 패치로 이어졌다는 점은 생태계 보안 대응 프로세스가 정교해지고 있음을 보여주는 대목이다.

시장 맥락도 무시하기 어렵다. 2026년 현재 XRPL 위 토큰화 자산 규모가 약 11억4000만달러까지 커졌고, 리플이 도입한 대출 프로토콜(XLS-66)과 단일 자산 볼트(Single Asset Vaults) 등은 네트워크 활용도를 높이는 방향으로 작동하고 있다. 여기에 메인넷에 적용된 허가형 DEX(탈중앙화 거래소) 업그레이드는 전통 금융(TradFi) 기관 온보딩을 겨냥한다. 성장 국면에서 퍼블릭 노드의 가용성 문제는 곧바로 기관 신뢰 저하로 연결될 수 있다는 점에서, 이번 rippled 업데이트는 기술 이슈를 넘어 ‘운영 리스크 관리’의 성격을 갖는다.

실제로 패치 공지 이후 XRP 가격이 약 4% 상승한 것으로 전해졌고, 파생상품 시장에서 매수세가 크게 유입됐다는 분석도 나왔다. 취약점 해소가 단기적으로는 불확실성을 걷어내며 심리에 ‘안도감’을 제공한 셈이다.

다만 재단 기본 유니크 노드 리스트(UNL·합의 참여 검증자 목록)에 35개 밸리데이터가 포함돼 원장을 전진시키고 있다는 설명과 별개로, 퍼블릭 노드 환경에서 엣지 케이스가 실제 아웃티지로 이어질 수 있다는 경고가 나온 이상 운영자 입장에서는 이번 조치를 ‘권고’가 아닌 사실상의 ‘필수 업데이트’로 받아들일 가능성이 크다. 결국 rippled 3.1.2 적용과 ‘새 GPG 키 신뢰’ 절차가 얼마나 신속하게 확산되느냐가 XRPL 안정성 논란의 재점화 여부를 가를 분기점이 될 전망이다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.