AI가 흔드는 디파이 보안 논쟁…더 위험해졌나, 방어 전환점 맞나

김하린 기자

2026.05.28 (목) 00:50

오픈제플린 창업자 마누엘 아라오즈가 AI 코딩 에이전트로 스마트컨트랙트 취약점 탐지가 빨라지며 디파이가 더 위험해졌다고 경고했다.

슬로우미스트와 사이버스는 AI가 공격과 방어를 함께 강화하고 있다며 상시 보안 통제와 지속형 방어 체계가 필요하다고 밝혔다.

AI가 흔드는 디파이 보안 논쟁…더 위험해졌나, 방어 전환점 맞나 / TokenPost.ai

인공지능(AI)이 스마트 컨트랙트 취약점을 더 빠르게 찾아내면서 디파이(DeFi) 보안이 다시 도마에 올랐다. 업계에서는 ‘디파이가 구조적으로 더 위험해졌다’는 경고와 ‘AI로 방어 체계를 고도화해야 한다’는 주장으로 의견이 갈리고 있다.

13일 코인텔레그래프에 따르면 블록체인 보안 플랫폼 오픈제플린(OpenZeppelin) 창업자 마누엘 아라오즈는 엑스(X)를 통해 “모든 디파이는 안전하지 않다”고 밝혔다. 그는 AI 코딩 에이전트가 스마트 컨트랙트의 약점을 찾아내는 능력이 커지고 있다며 이같이 주장했다.

이번 발언은 최근 디파이 해킹이 잇따르는 가운데 나왔다. 4월 한 달간 발생한 여러 보안 사고는 지난해 2월 이후 가장 큰 월간 암호화폐 손실로 이어졌고, 일부 보안 분석가들은 이를 ‘에이전트형 AI’ 확산과 연결하고 있다. 다만 커뮤니티 안에서도 원인 진단은 엇갈린다. 스마트 컨트랙트 결함보다 운영 관리나 권한 탈취, 소셜 엔지니어링이 더 큰 문제라는 반론도 적지 않다.

“AI가 공격도, 방어도 강화한다”

블록체인 보안업체 슬로우미스트(SlowMist) 창업자 위시안은 AI가 만드는 ‘이중 위협’을 지적했다. 그는 AI를 활용한 해커와 사회공학에 능한 조직형 공격자들이 동시에 위협을 키우고 있다고 봤다. 이에 따라 디파이 프로젝트는 실시간 코드 분석과 개발·운영(DevOps) 과정 점검에 AI 도구를 적극 도입해야 한다고 강조했다.

다만 실제로 AI가 해킹을 직접 수행했다는 공개된 포렌식 증거는 아직 제한적이라는 신중론도 있다. 블록체인 보안업체 사이버스(Cyvers)의 공동창업자이자 최고기술책임자(CTO)인 메이르 돌레브는 체인애널리시스와 미 연방수사국(FBI)이 경고해 온 AI 기반 사기 사례를 ‘검증된 흐름’으로 봐야 한다고 말했다. 그는 디파이가 코드가 공개돼 있고 자금 이동이 빠르며 계약 구조가 서로 연결돼 있어, 공격자가 ‘한 번의 실수’만 있어도 성공할 수 있다고 지적했다.

[경제분석] "AI는 어디에 있는가, GDP 통계 속에서"... 'AI GDP'라는 새로운 자(尺)

알파리포트 전문 보기 →

돌레브는 특히 스마트컨트랙트 로직, 관리자 키, DevOps, 프런트엔드, 서명 절차, 그리고 사람을 노리는 사회공학이 주요 취약 지점이라고 짚었다. 이어 “디파이는 아직 고칠 수 있지만, 보안이 출시 전 점검이 아니라 상시 실행 레이어 통제가 돼야 한다”고 말했다. 업계가 주목하는 건 단순한 감사보다 AI 보조 코드 리뷰, 레드팀 훈련, 키 관리 강화, 거래 사전 시뮬레이션 같은 ‘지속형 방어’다.

결국 이번 논쟁은 디파이가 AI 시대를 맞아 더 취약해졌는지, 아니면 방어 체계를 새로 설계하는 전환점에 들어섰는지를 보여준다. 다만 시장에서는 사고가 반복될수록 보안 역량이 프로젝트 신뢰도와 자금 유입을 가르는 핵심 변수로 더 부각될 가능성이 크다.

기사요약 by TokenPost.ai 🔎 시장 해석 AI의 발전으로 디파이 보안 리스크가 구조적으로 확대되고 있음. 특히 스마트 컨트랙트 취약점 탐지 속도가 빨라지면서 공격자의 진입장벽이 낮아짐. 동시에 AI 기반 사기와 사회공학 공격이 증가하며 단순 코드 문제가 아닌 전방위 보안 문제가 부각됨. 💡 전략 포인트 단발성 보안 감사에서 벗어나 실시간 모니터링 중심의 ‘지속형 보안’ 체계 구축 필요. AI 기반 코드 분석, 레드팀 훈련, 키 관리 강화, 거래 사전 시뮬레이션 등 다층 방어 전략이 핵심. 보안 역량이 프로젝트 신뢰도 및 자금 유입을 결정짓는 핵심 경쟁 요소로 부상. 📘 용어정리 디파이(DeFi): 중개기관 없이 블록체인 기반으로 금융 서비스를 제공하는 시스템. 스마트 컨트랙트: 조건이 충족되면 자동 실행되는 블록체인 프로그램. 사회공학 공격: 사람을 속여 정보나 권한을 탈취하는 해킹 기법. DevOps: 개발과 운영을 통합해 서비스 배포 및 관리 효율을 높이는 방식. 레드팀: 실제 공격자처럼 시스템을 테스트하는 보안 점검 방식.