「CertiK 스캔 완료」: AI 스킬 열풍 속의 보안 통행증
작성자: TechFlow
서론
ClawHub 공식 웹사이트에 따르면, 현재 플랫폼에는 약 67,300개 이상의 Skill이 사용자 설치를 기다리고 있다. 올해 초 이 수치는 1만 개에도 미치지 못했다.
Skill의 폭발적 증가는 Agent의 능력과 권한을 지속적으로 강화시켰다: 파일 읽기, 셸 호출, 자산 조작 트리거 등. 어떤 Skill에 대한 권한을 부여한다는 것은 곧 당신의 Agent가 디지털 세계 전체를 통제할 수 있는 열쇠를 손에 넣었다는 것을 의미한다.
공급이 풍부해지는 동시에 보안 사각지대도 계속 확대되고 있다. Snyk의 분석 결과, 조사된 약 4,000개 Skill 중 13.4%는 심각한 보안 문제를, 36.8%는 보안 결함을 보였으며, 76개는 악성 페이로드를 확인받았다.
위험이 현실로 존재하는 가운데, 많은 Skill 플랫폼의 공식 문서에서는 다음과 같은 문구를 흔히 볼 수 있다:
“타사 Skill은 검증되지 않았으며, 사용 시 발생하는 위험은 전적으로 사용자 책임이다.”
이는 일종의 위험 회피를 위한 어쩔 수 없는 조치일 수 있으나, 근본적인 해결책은 결코 아니다.
AI가 사람 대신 작업을 수행하기 시작하기 전, 우리는 Skill을 위한 ‘표준화된 보안 진입 계층’이 필요하다:
- 플랫폼이 어느 Skill을 상점에 등록할 수 있는지를 명확히 한다.
- 기업이 내부 환경에 어떤 Skill을 도입할 수 있는지를 이해하도록 돕는다.
- 사용자가 해당 Skill을 안심하고 다운로드 및 권한 부여 후 호출할 수 있는지를 명확히 알려준다.
2026년 5월, CertiK이 AI Agent 생태계를 위해 보안 스캐닝 도구인 CertiK Skill Scanner를 출시함으로써, 이러한 고통 포인트 문제를 해결하는 실질적인 진전을 보게 되었다.
AI 시대의 Skill ‘백신 소프트웨어’는 이런 모습이다
CertiK이 CertiK Skill Scanner에 부여한 공식 정의는 다음과 같다: AI 시대를 위한 Skill 애플리케이션을 위한 표준화된 보안 진입 계층.
반면 커뮤니티는 이를 더 간결하고 명확하게 요약한다: AI Skill 백신 소프트웨어.
이 표현은 매우 자연스럽다: 사용 전에 일련의 보안 평가 메커니즘을 통해 Skill을 스캔하여 잠재적 위험을 식별하고 사용자에게 피드백을 제공하는 것이다.
기존 백신 소프트웨어는 컴퓨터에서 실행되는 프로그램을 감지하지만, CertiK Skill Scanner는 AI Agent가 호출하는 Skill을 감지한다.
시장에는 일반적인 스캐너가 부족하지 않으나, 기존 제품들은 각각 고유한 사각지대를 지닌다: Web2 백신 소프트웨어는 블록체인 해커를 막지 못하며, 전통적인 Web3 감사 기관은 정적 코드에 집중해 동적 AI 호출 흐름에 대한 심층 분석은 거의 하지 않는다.
CertiK Skill Scanner의 차별성은 실행 과정 전반에 걸친 포괄적 커버리지에 있다:
악의적 행위, 데이터 유출, 무단 네트워크 호출, 셸 접근, 파일 시스템 남용 등 5대 위험 차원을 대상으로 Web2 / Web3 전 영역에 걸친 보호 기능을 제공하며, 특히 자금 조작을 포함한 금융 실행 위험에 특화되어 있다.
실행 과정뿐 아니라 정확도는 최대 90.5%에 달한다. 자금 조작이 관련된 금융 실행 시나리오에서, 특히 개인 사용자뿐 아니라 기관급 사용자에게 있어, 이것이 CertiK Skill Scanner가 ‘AI Skill 표준화된 보안 진입 계층’으로서 실제 보안 프로세스에 통합될 수 있는 핵심 요소이다.
이러한 금융 수준의 시나리오에 대한 동적 방어 능력 덕분에, CertiK Skill Scanner는 출시 직후부터 보안 요구 수준이 극도로 높은 Skill 플랫폼들로부터 즉각적인 호응을 얻었다.
현재 Web3 AI Agent 인프라 플랫폼 Pieverse가 최초로 CertiK Skill Scanner를 통합해, 자체 AI Agent Skill 스토어에 도입하였다. ‘BNB Chain MCP’를 포함한 핵심 Skill들도 이미 이 표준화된 보안 심사 메커니즘을 적용받고 있으며, 사용자 또는 Agent가 실제 호출을 실행하기 전 단계에서 잠재적 보안 위험을 사전에 차단한다.
이번 협업 통합에 대해 Pieverse CEO 콜린(Colin)은 다음과 같이 말했다:
“Agent가 실행하는 Skill에 대한 사용자와 개발자의 신뢰야말로 Agent 생태계가 규모화될 수 있는 전제조건이다. Pieverse는 Agent가 안전하게 거래 및 운영을 수행할 수 있도록 지원하는 인프라 구축을 목표로 한다. CertiK Skill Scanner의 도입은 Agent Skill의 보안성과 신뢰성을 제고하기 위한 결정적인 검증 계층을 제공한다.”
한편, FinChip.ai 등 다른 AI Skill 플랫폼과의 협업도 긴밀히 추진 중이다. FinChip.ai 육성 투자자 게리 양(Gary Yang)은 다음과 같이 언급했다:
“어떤 ‘Skill 경제’라도 규모화된 운영을 달성하려면 신뢰가 가장 핵심적인 전제조건이다. CertiK이 추진 중인 Skill 보안 검증 메커니즘은 현재 이 생태계가 절실히 필요로 하는 중요한 인프라이며, FinChip이 구상한 ‘프로그래밍 가능한 Skill 소유권 및 배포’ 비전을 더욱 현실화시켜줄 것이다.”
플랫폼 협업의 다각적 진전과 비교해, 일반 개인 사용자를 위한 클라이언트 측 서비스는 여전히 빠르게 개선 중이다.
이는 명확한 신호를 전달한다:
현 시점에서 CertiK Skill Scanner는 기관 및 플랫폼 시나리오에 우선적으로 진입하는 전략을 취하고 있다.
이러한 전략적 선택 뒤에는 어떤 전략적 고려가 숨어 있을까?
기관 사용자: 오랜 기간 준비된 전략적 전환
왜 기관을 중심으로 삼는가?
그 답은 명확하다:
‘기관’이 주요 서사가 된 이번 사이클에서, 기관을 선점하는 것은 곧 전체 시장을 움직일 수 있는 레버리지를 확보하는 것이다.
첫째, 블록체인 금융의 부상과 함께 자산운용사, 은행, 트러스트 등 전통 금융기관들이 Web3에 대규모로 진입하고 있다. 이들은 기관 수준의 보안, 준법성, 투명성, 리스크 가시성 도구를 필요로 하며, 이는 바로 CertiK의 전문 분야이다.
동시에, 기관의 강력한 영향력을 고려할 때, 기관 사용자를 타깃으로 삼는 것은 ‘점에서 면으로 확산’시키는 효율적인 전략이다:
은행 하나를 서비스한다는 것은 그 은행이 서비스하는 모든 고객들에게 보안 기준을 설정하는 것이며, 자산운용사 한 곳이 보안 표준을 채택한다는 것은 그 운용사가 관리하는 자산 및 고객 전체에 해당 표준이 확산되는 것이다.
이는 매우 효율적인 경로이며, 많은 프로젝트들이 이미 기관 협업을 미래 성장 잠재력의 핵심 지표로 삼고 있다.
그렇다면 왜 CertiK은 ‘기관 사용자 대상 전략적 전환’의 초기 상징적 제품으로 CertiK Skill Scanner를 선택했을까?
동일하게, 첫 번째 이유는 급격히 증가한 수요가 초래한 긴박성이다:
많은 기관이 이미 업무 프로세스에 AI를 도입했으며, 더 많은 기관들이 이에 발을 들이고 있다. IDC 보고서에 따르면, 2027년까지 Global 2000 기업 내 AI Agent 사용량은 10배 증가할 것으로 예상되며, Agent 관련 API 호출량과 토큰 호출량은 1,000배 증가할 전망이다.
하지만 기관이 Skill을 호출할 때 가장 우려하는 것은 바로 보안 문제이며, 특히 자금 거래, 데이터 유출, 준법 리스크 등에서 문제가 발생할 경우, ‘독성’ Skill에 노출되면 막대한 손실과 신뢰 붕괴라는 심각한 결과를 초래할 수 있다.
따라서 Skill에 대한 보안 선별은 기관에게 필수불가결한 요소이며, 이는 바로 CertiK Skill Scanner가 집중적으로 다루는 영역이며, 특히 금융 실행 리스크에 대한 전문적 보호 기능이 기관 수준 보안 요구와 높은 수준으로 부합한다.
물론, ‘기회를 인식하는 것’과 ‘기회를 실현할 수 있는 능력을 갖추는 것’은 별개의 문제이다.
기관 서비스 분야에서 CertiK은 ‘신참’이 아니다.
오랫동안 CertiK 공식 웹사이트에 표시된 대상 범주는 Web3 프로젝트, 기관/기업, 거래소/트러스트 기관, 규제 기관 및 준법 감사 부서를 아우른다.
CertiK이 제공하는 기관 서비스를 정리해 보면, 기술, 준법, AI 세 분야에 걸친 종합적 전략을 이미 구축하였다.
기술 측면에서는 코드 감사, 침투 테스트, 보유 자산 증명(RoT) 등, 기반 보안부터 자산 투명성에 이르기까지 핵심 요구사항을 모두 포괄한다.
준법 측면에서는 VARA 준법 솔루션 및 DORA, MiCA 준법성 컨설팅 등 다양한 사법 관할권 하에서 보다 견고한 준법 로드맵을 구축할 수 있도록 지원한다.
AI 측면에서는 CertiK Skill Scanner 외에도, 지난 4월 출시된 AI Auditor가 있다. 이 도구는 개발 워크플로우에 직접 통합 가능하며, 높은 정확도와 낮은 오탐률을 자랑하는 취약점 탐지 기능을 제공한다. 실제 보안 사고 테스트에서 정확도는 88.6%에 달하며, CertiK Skill Scanner와 함께 CertiK의 AI 보안 제품군을 구성하는 양대 축이다.
이러한 종합적 전략은 이미 알리바바 그룹(앤티그룹), 바이낸스(Binance), 그리고 여러 은행, 펀드, 트러스트 기관, 규제 기술(RegTech) 기업들을 CertiK 협업 파트너 명단에 이름을 올리게 만들었다.
점차 더 많은 기관들이 블록체인 도입에 관심을 보이면서, CertiK은 공개적으로 서비스 대상을 Web3 프로젝트에서 전통 금융기관 및 규제·준법 실체로 신속히 전환하고 있음을 반복적으로 밝혔다.
물론, 기관 협업 성과보다 더 궁금한 건, 왜 기관들이 CertiK을 선택했는가이다.
보안 분야의 선두주자로서, CertiK은 단기간 내 타인이 따라잡기 어려운 기술 역량과 깊은 저변을 확고히 갖추고 있다.
서비스 고객 수는 5,167개 이상, 발견된 코드 취약점은 18만 개 이상, 보호된 디지털 자산은 6,000억 달러를 넘는다.
CertiK 공식 웹사이트에 나열된 연이은 수치는 보안 분야 10년간의 집요한 연구와 실천의 축약판이며, ‘Audited by CertiK’라는 문구가 수많은 Web3 프로젝트가 사용자 신뢰를 얻기 위한 핵심 라벨이 된 이유이기도 하다.
이러한 업계 평판 뒤에는 CertiK의 정상급 기술 DNA가 자리한다.
CertiK를 이끄는 공동 창립자 두 명은 각각 컬럼비아 대학교 컴퓨터과학과 부교수인 구영휘 교수와 예일 대학교 컴퓨터과학과 교수이자 학과장인 소중(Shao Zhong) 교수이다. 두 사람 모두 세계 최정상 학술계 출신이다.
그들은 학계에서 가장 엄격한 형식적 검증(formal verification) 방법론을 Web3 보안 분야에 도입하였고, 이것이 CertiK의 핵심 기술적 우위를 구축하는 데 결정적인 역할을 하였다. 또한 iOS, iPadOS, macOS, watchOS에서 발견된 중대한 보안 취약점을 다섯 차례나 식별하여 애플사로부터 공식 인정을 받았으며, 이는 CertiK의 보안 역량이 Web3라는 특정 맥락에 국한되지 않음을 입증한다.
동시에, 준법성은 기관의 신뢰를 얻기 위한 필수 진입 장벽이며, 이 분야에서도 CertiK은 뛰어난 성과를 거두고 있다.
현재 CertiK은 SOC 2 Type II 감사 및 ISO 27001 인증을 모두 완료하였으며, 이는 전통 금융기관이 보안 서비스 제공업체를 선정할 때 가장 중요한 평가 기준 중 하나이다.
또한 CertiK은 미국 의회, 싱가포르 금융감독청(MAS), 홍콩 특별행정구 정부, 한국 정부, 아부다비 글로벌 마켓(ADGM), 일본 금융청(FSA) 등 전 세계 주요 규제 기관들과 협력 관계를 구축하였다. 공동 창립자 구영휘 교수는 MAS 자문 그룹에 Web3 분야 유일의 대표로 참여하여, 글로벌 규제 정책 수립 및 실행에 적극적으로 기여하였다.
이는 CertiK이 단순히 기술 측면에서 보안을 제공하는 것을 넘어, 규제 및 준법 프레임워크 내에서 기관이 진정으로 무엇을 필요로 하는지를 깊이 이해할 수 있다는 것을 의미한다.
기술, 준법, 경험을 전방위적으로 검토해 보면, 우리는 CertiK을 단일 제품으로 평가해서는 안 된다는 사실을 깨닫게 된다. 왜냐하면 CertiK이 추구하는 목표는 제한된 Web3 공간에 머무르는 것도, AI Skill의 표준화된 보안 진입 계층에 머무르는 것도 아니기 때문이다. 처음부터 CertiK의 목표는 변함없다:
디지털 경제 시대의 보안 인프라가 되는 것
CertiK Skill Scanner는 CertiK이 10년간 쌓아온 보안 역량을 AI 시대의 산업 표준으로 전환하기 위한 진입 티켓이다;
그리고 기관은 바로 이 도박의 첫 번째 기반이다.
출발점에서 바라본 CertiK의 지속적 진화
물론, 디지털 경제 시대의 보안 인프라가 되는 것은 일취월장이 불가능한 과정이다.
이때 로드맵은 프로젝트의 전략적 실행을 관찰하는 핵심 정보가 된다.
최근 출시된 CertiK Skill Scanner의 향후 방향은 명확하다:
첫째는 보다 광범위한 생태계 협력이다. CertiK Skill Scanner가 주도하는 보안 표준을 더 많은 Skill 플랫폼에 침투시킴으로써, ‘CertiK 보안 평가 점수’가 Skill 상점 등록의 필수 신호로 자리매김하도록 만드는 것이다.
둘째는 일반 사용자 참여 창구의 보완이다. 이는 Skill Scanner가 ‘기관 전용 도구’에서 ‘모든 사람을 위한 보안 계층’으로 진화하는 데 있어 핵심적인 전환점이다.
물론, 우리는 CertiK Skill Scanner 출시 이전, CertiK이 발표한 한 편의 글에도 주목해야 한다:
“Skill Scanning Is Not a Security Boundary” (Skill 스캔은 보안 경계가 아니다).
해당 글에서는 정적 스캔만으로는 AI Agent 시대의 완전한 보안 경계를 구성하기에 부족하다고 강조하였다.
이 주장은 이후 CertiK Skill Scanner의 핵심 차별화 요소가 되었다.
그러나 이 글은 또 다른 중요한 내용을 강조한다:
CertiK이 CertiK Skill Scanner를 정의한 바에 따르면, 이 도구는 AI 보안 체계 내 첫 번째 보안 관문으로, 타사 Skill이 플랫폼, 기업 또는 사용자에 의해 실제로 활용되기 전에 기본적인 위험 식별 및 보안 평가를 수행하도록 설계되었다.
향후 AI Agent가 보다 복잡한 실시간 실행 시나리오로 진입함에 따라, 위험 식별, 평가 체계, 보고서 생성 능력 등 다양한 방향에서 CertiK의 AI 보안 제품군은 풍부한 확장 가능성을 지닌다.
이는 거의 공개적으로 CertiK의 전체 AI Agent 보안 전략을 암시한다:
스캔 및 진입 검사 외에도, 보다 광범위한 AI 시나리오를 커버한다;
AI Auditor, CertiK Skill Scanner 외에도, 추가적인 AI 기능 또는 제품을 출시한다;
단일 도구를 넘어, 차차 AI Agent 시대를 위한 완전한 보안 스택을 구축해 나간다.
현재 CertiK Skill Scanner는 이 로드맵의 출발점일 뿐이다.
맺음말
과거에 무엇을 했는지에서부터 미래에 무엇을 할 것인지까지, 이는 ‘디지털 경제 시대, 누가 보안을 책임질 것인가?’라는 질문에 대한 완전한 이야기이다.
지난 10년간 CertiK은 코드, 스마트 계약, 체인 상 자산에 대한 보안 책임을 입증하였다.
이제 AI Agent가 사람 대신 작업을 수행하기 시작하면서 새로운 보안 경계가 등장하고 있으며, CertiK은 이 보안 역량의 경계를 계속해서 확장하고 있다:
체인 상 자산 보호에서 AI 호출 보호로;
기관 도입에서 디지털 경제 전반의 보안 기반으로.
이는 이미 시장의 선두주자에 올라선 기업이, 10년간의 축적을 바탕으로 다음 10년간의 산업 보안 표준을 내걸고 도전하는 이야기이다.
비록 지금은 다음 10년의 이야기가 막 시작된 시점이라, 우리 눈앞에는 아직 전략적 구상과 제품·생태계의 초기 형태만 보일 뿐이다.
하지만 이는 우리가 ‘위험은 스스로 책임진다’는 방식에서 벗어나, ‘기제에 의한 보장’이 이루어지는 디지털 경제의 미래에 대한 기대를 줄 수 없다는 것을 의미한다.
‘Audited by CertiK’는 수많은 Web3 프로젝트가 사용자 신뢰를 얻는 데 핵심적인 라벨이 되었다.
그렇다면 ‘Scanned by CertiK’는 AI 시대의 다음 라벨이 될 것인가?
CertiK은 지속적인 제품 개선과 기관 도입 사례를 통해, 이 질문에 대한 확실한 답을 산업에 제시하려 하고 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
