AI가 보안을 해결하면 DeFi는 황금 시대를 다시 맞이할 수 있을까?
글쓴이: nour
번역: Chopper, Foresight News
2020년의 ‘DeFi 서머(DeFi Summer)’ 당시, 안드레 크로네(Andre Cronje)는 거의 매주 새로운 프로토콜을 출시했다. Yearn, Solidly를 비롯해 수많은 실험적 프로젝트들이 쏟아져 나왔다. 아쉽게도 이 중 다수는 스마트 계약 결함 및 경제적 공격에 직면했고, 사용자들에게 손실을 초래했다. 그러나 살아남은 프로토콜들은 오늘날 가장 중요한 프로토콜들로 자리매김하게 되었다.
문제는 그 시대가 업계 전체에 심리적 외상을 남겼다는 점이다. 업계의 풍향은 급격히 보안 쪽으로 기울었고, 막대한 자원이 보안 강화에 투입되었다. 다중 감사, 감사 경쟁, 시장 적합성조차 검증되지 않은 신규 아이디어 하나를 검증하기 위해 수 개월간의 검토 과정 등이 일반화되었다. 대부분의 사람들이 인지하지 못하는 사실은, 이러한 관행이 실험 정신을 얼마나 심각하게 억압했는가 하는 점이다. 아무도 검증되지 않은 아이디어 하나를 위해 50만 달러를 들이고 6개월간 감사를 기다리지 않는다. 결과적으로 모두가 검증된 설계를 단순히 복제한 뒤, 이를 ‘혁신’이라 칭하고 있다. DeFi 혁신은 사라진 것이 아니라, 인센티브 구조가 그것을 억누르고 있는 것이다.
그러나 지금 이 모든 것이 바뀌고 있다. AI가 보안 비용을 놀라운 속도로 낮추고 있기 때문이다.
과거의 AI 감사는 매우 피상적이었고, 재진입(reentrancy), 정밀도 손실(precision loss) 등 숙련된 감사관이라면 누구나 쉽게 발견할 수 있는 표면적인 문제만을 식별할 수 있었다. 그러나 차세대 도구는 완전히 다르다. 예를 들어 Nemesis 같은 도구는 복잡한 실행 흐름 관련 취약점과 경제적 공격까지 탐지할 수 있으며, 프로토콜과 그 실행 환경에 대한 놀라운 깊이의 문맥적 이해 능력을 갖추고 있다. 특히 Nemesis가 두드러지는 점은 오보(false positive) 처리 방식이다. 여러 에이전트가 서로 다른 방법으로 취약점을 탐지한 후, 독립된 또 다른 에이전트가 프로토콜의 로직과 목표에 대한 문맥적 이해를 기반으로 결과를 평가하고 오보를 필터링한다. 이 도구는 실제로 미묘한 차이를 이해한다. 예컨대 재진입이 어떤 상황에서는 허용 가능하지만, 어떤 경우엔 진정으로 위험하다는 점을 정확히 구분한다. 이 정도의 판단력은 경험 많은 인간 감사관조차 종종 실수하는 부분이다.
또한 Nemesis는 극도로 간단하다. 단 세 개의 Markdown 파일만 있으면 되며, 이를 Claude Code에 기능으로 추가하면 바로 사용할 수 있다. 다른 도구들은 더 나아가 심볼릭 실행(symbolic execution)과 정적 분석(static analysis)을 통합하거나, 심지어 형식적 검증(formal verification) 규격을 자동으로 작성하고 코드를 검증하는 기능까지 제공한다. 형식적 검증이 이제 누구나 사용 가능한 수준에 도달한 것이다.
하지만 이 모든 도구는 여전히 1세대에 불과하다. 모델 자체도 계속 진화 중이다. Anthropic가 곧 출시할 Mythos는 Opus 4.6를 훨씬 능가하는 성능을 제공할 것으로 예상된다. 사용자는 아무런 수정 없이 기존 Nemesis를 Mythos에서 바로 실행하기만 하면 즉각적으로 향상된 성능을 얻을 수 있다.
여기에 Cyfrin의 Battlechain을 더하면, 전체 보안 워크플로우가 완전히 재구성된다: 코드 작성 → AI 도구 감사 → Battlechain에 배포 → 실전 공격/방어 테스트 → 메인넷 배포.
Battlechain의 장점은 이더리움 메인넷이 암묵적으로 요구하는 ‘보안 기대치’를 제거한다는 데 있다. 모든 크로스체인 유저는 자신이 직면하는 리스크를 명확히 인지하고 있다. 또한 AI 감사 도구에게는 메인넷이라는 광활한 바다에서 바늘을 찾는 대신, 자연스럽게 집중할 수 있는 최적의 테스트베드를 제공한다. 이 플랫폼의 ‘안전항(Safe Harbor)’ 프레임워크는 해킹 당한 자금의 10%를 합법적 보너스(bounty)로 지급하도록 규정함으로써, 강력한 공격 도구 개발을 유도하는 경제적 인센티브를 창출한다. 본질적으로 이는 MEV와 유사한 경쟁 구조이지만, 보안 분야에서 벌어지는 것이다. AI 에이전트들은 새롭게 배포된 프로토콜을 가장 빠른 속도로 탐지해, 누가 먼저 취약점을 찾아내느냐를 두고 경쟁한다.
앞으로 DeFi 프로토콜 개발의 표준 프로세스는 다음과 같을 것이다:
- 프로토콜 작성
- 몇 분 내 AI 감사 완료
- 소량의 자금으로 Battlechain에 배포
- 경쟁 중인 AI 에이전트들에 의해 자동 감시 시작
- 몇 분 내 공격 발생
- 90%의 자금 회수
- 취약점 수정
- 재배포
코드 작성부터 실전 테스트를 거쳐 메인넷에 배포되기까지의 전 과정이 기존 수 개월에서 몇 시간으로 압축되며, 전통적 감사 비용에 비해 사실상 무시할 수준의 비용만 소요된다.
최종적인 보안 방벽은 지갑 수준의 AI 감사가 될 것이다. 사용자의 지갑은 트랜잭션 서명 단계에 동일한 AI 감사 도구를 통합할 수 있다. 각 트랜잭션 서명 전에 AI는 대상 계약 코드를 감사하고, 상태 변수를 읽어 관련된 모든 계약을 연계하며, 프로토콜의 토폴로지 구조를 파악하고 문맥을 이해한 뒤, 계약 코드와 사용자의 트랜잭션 입력을 동시에 감사하여 승인 팝업 창에서 구체적인 조언을 제공한다. 결국 모든 사용자는 자신만의 전문가 수준 감사 에이전트를 운영하게 되어, 럭풀(rug pull), 팀의 부주의 또는 악성 프론트엔드로부터 스스로를 보호할 수 있게 된다.
이러한 에이전트는 개발 계층, 블록체인 계층, 사용자 계층 전반에 걸쳐 DeFi 프로토콜을 포괄적으로 보호한다. 이는 다시금 실험적 설계 공간 전체를 열어준다. 과거에는 보안 비용이 너무 높아 경제적 타당성이 없어 테스트조차 불가능했던 아이디어들이 이제 실제 검증될 수 있게 된 것이다. 한 사람이 침실에서, 2020년의 안드레 크로네처럼 빠르게 반복 실험하며 수십억 달러 규모의 프로토콜을 만들어낼 수 있다. 온라인 실시간 테스트 시대가 돌아왔다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@NourHaridy
