AI가 흔드는 디파이 보안…‘모든 DeFi는 안전하지 않다’ 논란 확산

인공지능(AI)이 탈중앙화금융(DeFi)의 보안을 근본적으로 흔들고 있다는 경고가 커지면서, 크립토 업계에서 ‘DeFi는 원래 안전하지 않다’는 주장과 ‘방어 체계를 새로 짜야 한다’는 반론이 맞서고 있다.

13일 코인텔레그래프에 따르면 오픈제플린(OpenZeppelin) 창업자 마누엘 아라오즈(Manuel Aráoz)는 X에 “모든 DeFi는 안전하지 않다”고 적으며, AI 코딩 에이전트가 스마트컨트랙트 취약점을 더 쉽게 찾아내고 있다고 지적했다. 그의 발언은 즉시 논쟁을 불렀고, 디파이 해킹의 핵심 원인이 코드 결함인지, 아니면 더 넓은 운영·보안 체계의 문제인지에 대한 시각차가 드러났다.

이번 논란은 지난 4월 잇따른 디파이 보안 사고와도 맞물린다. 당시 월간 암호화폐 피해액은 2025년 2월 이후 가장 큰 규모로 불어났고, 일부 보안 분석가들은 이를 ‘에이전틱 AI’의 확산과 연결 짓고 있다. AI가 공격자의 탐색 속도와 자동화를 높이면서, 취약점 악용의 진입장벽이 낮아졌다는 설명이다.

“AI를 써서 AI를 막아야”

블록체인 보안업체 슬로우미스트(SlowMist) 창업자 위셴(Yu Xian)은 아라오즈의 주장에 대해 AI 기반 공격이 이중 위협을 만들고 있다고 경고했다. 그는 AI 도구를 활용하는 ‘블랙햇’ 해커와, 소셜 엔지니어링에 능한 조직형 공격 세력이 동시에 커지고 있다고 봤다.

위셴은 디파이 프로젝트 팀이 실시간 코드와 데브옵스(개발·운영) 과정에서 보안 위험을 찾아내는 고도화된 AI 도구를 서둘러 도입해야 한다고 강조했다. 또 온체인과 오프체인 공격 경로를 모두 아우르는 정기 점검이 필요하다고 말했다. 그는 자동화된 공격 역량이 계속 진화하는 만큼, 디파이 팀도 ‘블랙햇보다 더 철저하고 집요해야 한다’고 덧붙였다.

“DeFi만 유독 취약하다기보다, 구조적으로 열려 있다”

블록체인 보안 플랫폼 사이버스(Cyvers)의 공동창업자이자 최고기술책임자(Meir Dolev)는 아직 AI가 실제로 해킹을 직접 실행했다는 공개 포렌식 증거는 제한적이라고 선을 그었다. 다만 체이널리시스(Chainalysis)와 미 연방수사국(FBI)이 AI를 활용한 암호화폐 사기 확산을 경고한 만큼, 더 넓은 추세는 분명하다고 봤다.

그는 디파이가 특히 노출되기 쉬운 이유로 코드가 공개돼 있고, 자금 이동이 빠르며, 계약이 서로 맞물려 작동하는 ‘컴포저빌리티’ 구조를 꼽았다. 공격자는 단 하나의 실수만 찾아내도 성공할 수 있다는 것이다. 특히 스마트컨트랙트 로직, 관리자 키, 데브옵스, 웹 프런트엔드, 서명 절차, 그리고 사람을 노리는 사회공학까지 모든 구간이 공격 표면이 될 수 있고, AI는 이 과정을 더 빠르고 넓게 만들 수 있다고 그는 설명했다.

도레브는 그러나 디파이를 포기하는 것이 해법은 아니라고 했다. 그는 정기 감사만으로는 부족하다며, AI 보조 코드 리뷰와 레드팀 훈련, 데브옵스 강화, 키 관리 개선, 실시간 거래 시뮬레이션, 서명 전 위험 평가 같은 ‘상시 보안’ 체계로 전환해야 한다고 제안했다. 디파이가 여전히 고칠 수 있는 구조이지만, 보안이 출시 전 체크리스트가 아니라 실행 단계의 지속적 통제 장치가 돼야 한다는 의미다.

AI가 디파이의 취약점을 더 잘 드러내는 것은 분명하지만, 업계의 시선은 이미 ‘불안정한 실험’에서 ‘지속적 방어 체계’로 옮겨가고 있다. 결국 디파이의 생존 여부는 기술 자체보다, AI 시대에 맞는 보안 설계를 얼마나 빠르게 구축하느냐에 달려 있다.