최근 CertiK은 IDAI Summit 2026 행사에서 “Security: AI 도입과 디지털 자산 사이버 보안”을 주제로 발표를 진행하며, AI와 Web3가 융합되는 과정에서 새롭게 등장하는 보안 리스크에 대해 논의했습니다. AI 에이전트가 디지털 자산 관리와 온체인 거래 실행 과정에서 점점 더 자율적인 역할을 수행함에 따라, 기존 보안 체계만으로는 대응하기 어려운 새로운 공격 표면이 빠르게 확대되고 있습니다.
AI 도입 속도에 뒤처진 보안 체계
실제 사례들은 이러한 위험이 이미 현실화되고 있음을 보여줍니다. 2026년 초, CertiK 보안 연구팀은 오픈소스 AI 에이전트 플랫폼인 Openclaw 생태계에서 보안 문제를 발견했습니다. 1월 말 기준 ClawHub에 등록된 전체 스킬 2,857개 가운데 341개(약 12%)가 악성으로 확인됐으며, 2월 중순에는 악성 패키지 1,184개에 포함된 824개 이상의 악성 스킬로 증가했습니다. 이 사례는 적절한 런타임 권한 관리와 샌드박스 환경이 구축되지 않을 경우, 단 한 번의 검토 누락만으로도 전체 시스템이 침해될 수 있음을 보여줍니다.
Openclaw의 급격한 성장 이면에는 상당한 수준의 보안 부채(Security Debt)가 누적되어 있었습니다. 2025년 11월부터 2026년 3월 사이에만 280건 이상의 GitHub Security Advisory와 100건 이상의 CVE가 보고되며, 빠른 확장 과정에서 발생한 구조적 보안 문제가 드러났습니다.
또 다른 대표 사례는 Lobstar Wilde 사건입니다. 해당 사건에서 AI 에이전트는 X(구 트위터)의 한 사용자에게 최대 45만 달러 규모의 토큰을 전송했습니다. 세션 충돌로 인해 에이전트의 메모리가 초기화되면서 보유 자산에 대한 상태 정보를 상실했고, 소셜미디어 게시물을 정상적인 요청으로 오인한 채 되돌릴 수 없는 온체인 거래를 승인했습니다.
이러한 사례들은 AI 에이전트를 관리하고 통제하기 위한 보안 프레임워크가 충분히 성숙하기도 전에, 이미 AI 에이전트가 실제 자산을 관리하고 거래를 수행할 수 있는 권한을 가진 채 운영되고 있음을 보여줍니다.
AI 에이전트의 구조적 보안 취약점
Web3 생태계를 보호하기 위해서는 이러한 사고를 개별적인 소프트웨어 버그로만 바라보는 관점에서 벗어나야 합니다. 2026년 초 확인된 여러 취약점 사례는 LLM 기반 실행 환경에 내재된 세 가지 공통적인 아키텍처상의 사각지대를 보여주고 있습니다.
1. 간접 참조 취약점(검증과 실행 사이의 불일치)
에이전트 시스템에서 나타나는 대표적인 위협 패턴 중 하나는 보안 정책 계층이 검증한 내용과 실제 시스템 환경에서 실행되는 내용 사이에 괴리가 발생하는 것입니다. 예를 들어, OpenClaw의 사전 승인 명령어 시스템인 safeBins는 --compress-program과 같은 고위험 플래그를 차단하기 위해 엄격한 문자열 일치(String Matching) 방식을 적용했습니다.
그러나 GNU Coreutils는 명령어의 축약형 사용을 기본적으로 지원합니다. 이 때문에 공격자는 --compress-prog 또는 --compress-p와 같은 변형된 옵션을 활용해 정확 일치 기반 차단 정책을 우회할 수 있었습니다. 검증 계층은 이를 허용된 문자열로 인식했지만, 실제 실행 환경의 셸은 이를 금지된 --compress-program 옵션으로 해석해 실행했습니다.
2. 취약한 다중 채널 신원 검증 체계
AI 에이전트가 금융 자산과 관련된 키를 제어하는 환경에서는 거래 요청의 실제 발신자를 정확히 식별하는 것이 매우 중요합니다. 하지만 Slack, Telegram, Discord 등 여러 메시징 플랫폼과 에이전트를 연동할 경우, 구조적인 충돌과 복잡성이 발생하게 됩니다.
이 과정에서 나타난 핵심 취약점은 접근 권한을 Telegram의 @username이나 Google Chat 이메일 별칭과 같이 변경 가능한 신원 정보에 의존했다는 점입니다. 이러한 식별자는 변경·삭제되거나 재사용될 수 있기 때문에, 공격자가 만료된 식별자를 확보할 경우 에이전트의 권한 체계를 탈취하고 전체 실행 흐름을 장악할 수 있습니다.
또한 멀티모달 통합 환경에서는 서로 다른 권한 수준이 하나의 시스템 내에서 혼재되는 문제가 자주 발생합니다. 대표적으로 일반 사용자와의 다이렉트 메시지(DM) 컨텍스트를 관리자 콘솔 명령과 분리하지 못하는 등 서로 다른 권한 수준을 혼재시키는 경우가 많습니다.
3. 상태 및 메모리 오염
기존 애플리케이션이 세션 종료와 함께 상태 정보를 초기화하는 것과 달리, 자율형 AI 에이전트는 지속적인 데이터 계층(Persistent Data Layer)을 통해 상태와 기억을 유지합니다. 이러한 특성은 장기간에 걸쳐 간접적으로 시스템을 오염시킬 수 있는 새로운 공격 경로를 만들어냅니다.
공격자는 웹 스크래퍼, 수신 이메일, 웹훅(Webhook) 페이로드와 같은 신뢰할 수 없는 외부 데이터 소스를 통해 악의적인 자연어 명령을 주입합니다.
이러한 공격은 즉각적인 시스템 장애를 일으키는 대신, 모델이 악성 지침을 SOUL.md, HEARTBEAT.md, MEMORY.md와 같은 장기 핵심 메모리 파일에 직접 기록하도록 유도합니다.
문제는 이러한 파일들이 이후 대화 과정에서 시스템 프롬프트에 자동으로 추가되기 때문에, 에이전트는 영구적으로 손상되어 지연된 악성 자산 이체를 실행하거나 민감한 키를 은밀하게 유출합니다.
CertiK AI Auditor
AI Auditor는 CertiK이 개발한 AI 기반 감사 인프라로, 기본적인 취약점 탐지와 모니터링을 수행함으로써 감사자가 보다 높은 수준의 분석과 전문적인 판단이 필요한 문제에 집중할 수 있도록 설계되었습니다.
AI Auditor는 MultiScanner 아키텍처를 기반으로 동작합니다. 여러 개의 특화된 AI 모델이 병렬로 실행되며, 각 모델은 서로 다른 유형의 취약점을 탐지하도록 최적화되어 있습니다. 또한 정적인 학습 데이터에 의존하는 대신, 실제 공격 사례와 감사 결과를 바탕으로 지속적으로 업데이트되는 지식 베이스 활용합니다. 이를 통해 변화하는 위협 환경에 맞춰 보안 인사이트 또한 지속적으로 발전하고 진화합니다.
AI Auditor의 워크플로우는 빠르고 효율적으로 설계되어 있습니다. 개발팀은 저장소를 연결하고 스캔 범위를 설정한 뒤 보안 검사를 실행할 수 있으며, 구조화된 트리아지(Triage) 프로세스를 통해 탐지 결과를 검토할 수 있습니다. 이후 결과를 내보내어 내부 팀이나 외부 감사자와 공유할 수 있으며, 이러한 전 과정은 수시간 내에 완료됩니다. AI Auditor는 Solidity, Move, Rust를 지원하며, 중요도 기반 분류 기능을 통해 우선적으로 대응이 필요한 취약점을 식별할 수 있습니다. 또한 사용자 정의 스캔 범위 설정 기능을 제공해 감사 비용과 리소스를 보다 효율적으로 관리할 수 있도록 지원합니다.
2026년에 발생한 실제 Web3 보안 사고 35건을 대상으로 한 평가(해당 테스트 데이터는 모델 학습이나 지식 베이스 구축 과정에서 완전히 배제됨)에서, AI Auditor는 88.6%의 누적 정확 탐지율을 기록했으며, 오탐은 낮은 수준으로 유지했습니다. AI Auditor는 5,000건 이상의 감사 수행 경험을 통해 축적된 CertiK의 감사 방법론을 기반으로 구축되었으며, 정식 공개에 앞서 CertiK 내부 감사팀에서 충분한 검증 과정을 거쳤습니다.
보안을 인프라로: 금융기관을 위한 AI 시대의 보안 프레임워크
AI의 확산은 금융기관과 디지털자산 사업자의 보안 운영 방식을 근본적으로 바꾸고 있습니다. 과거 보안은 사고 발생 후 대응하거나 서비스 출시 전 점검하는 방식의 사후적·단계적 활동에 가까웠습니다. 그러나 AI가 공격과 방어 양측의 속도를 동시에 끌어올리면서, 이제 기관은 ‘사후 대응’에서 ‘지속적 방어’ 체계로 전환해야 하는 시점에 놓여 있습니다.
특히 AI는 보안 취약점의 생명주기를 극단적으로 단축시키고 있습니다. 취약점이 공개되면 AI 모델은 수분 내에 공격 코드를 생성하고 공격 경로를 최적화할 수 있습니다. 이는 공격자의 대응 속도가 인간 중심의 보안 조직보다 훨씬 빨라질 수 있음을 의미합니다. 거래소와 디지털자산 사업자는 물론, AI를 업무에 활용하는 전통 금융기관 역시 이러한 변화의 영향을 직접적으로 받고 있습니다. 위험이 발생하는 속도는 빨라지고 있지만, 기존의 수동적 보안 프로세스가 대응할 수 있는 시간은 점점 줄어들고 있습니다.
이러한 환경에서 보안은 더 이상 특정 부서의 책임이나 일회성 감사 활동에 머물러서는 안 됩니다. 이제 보안은 기관의 운영 체계와 거버넌스 전반에 내재된 ‘상시 운영 인프라’로 자리 잡아야 합니다. 특히 금융기관과 디지털자산 사업자들이 AI를 데이터 분석, 업무 자동화, 리스크 관리 등 다양한 영역에 도입하면서, AI가 접근하고 활용할 수 있는 데이터와 시스템 권한에 대한 관리가 새로운 보안 과제로 부상하고 있습니다. 이에 따라 기술적 통제 체계는 물론, AI 활용에 대한 조직 차원의 감독 체계와 거버넌스 구축의 중요성도 더욱 커지고 있습니다.
이를 위해 금융기관과 디지털자산 사업자는 다음과 같은 보안 원칙을 고려할 필요가 있습니다.
최소 권한 원칙 기반의 AI 운영 체계 구축: AI 시스템이 사용하는 실행 도구(exec), 파일 접근(file_write), 브라우저 자동화 기능 등에 대해 포괄적인 권한을 부여하는 것은 지양해야 합니다. 특히 긴급 대응이나 운영 편의성을 이유로 allow-all 방식의 전면 허용 정책을 적용할 경우, 샌드박스 환경과 접근 통제 체계가 사실상 무력화될 수 있습니다. 기관은 AI 시스템이 활용할 수 있는 기능과 데이터 범위를 업무 목적에 맞게 세분화하고, 명시적으로 허용된 디렉터리와 명령어만 접근할 수 있도록 화이트리스트 기반의 통제 체계를 구축해야 합니다.
민감 정보 자동 마스킹 활성화: 운영 환경에서는 로그 마스킹 기능을 기본적으로 활성화하고, 민감 정보가 로그나 디버깅 데이터에 원문 형태로 저장되지 않도록 해야 합니다. 특히 금융기관은 개인정보와 금융거래 정보에 대한 규제 요구사항이 높은 만큼, 로그 오염(Log Poisoning)이나 데이터 유출 공격에 대비한 별도의 모니터링 체계도 함께 구축할 필요가 있습니다.
인간 승인 기반 멀티시그 체계 구축: AI의 의사결정 결과는 본질적으로 결정론적이기보다 확률적입니다. 따라서 시스템의 핵심 설정 변경이나 온체인 자산 이체와 같이 중요하고 되돌릴 수 없는 작업에 대해서는 반드시 인간이 개입하는 멀티시그 승인 절차 또는 수동 승인 체계를 구축해야 합니다. 이를 통해 AI 모델의 추론 오류나 오판으로 인한 리스크를 효과적으로 완화할 수 있습니다.
AI 기반 지속적 보안 운영 체계 도입: AI 공격이 자동화·고도화되고 있는 만큼, 방어 체계 역시 동일한 수준으로 자동화되고 지능화되어야 합니다. 기관은 AI를 활용한 위협 탐지, 취약점 분석, 이상 거래 탐지, AML 모니터링, 내부 이상행위 탐지 등을 보안 운영 프로세스에 적극적으로 통합해야 합니다. 보안은 더 이상 특정 시점에 수행되는 프로젝트가 아니라 지속적으로 운영되는 프로세스로 변화하고 있습니다. 기관은 체계화된 보안 도구와 자동화된 모니터링 체계를 통해 AI 기반 위협 환경에서도 선제적 대응 역량을 확보해야 합니다.
AI 도입은 앞으로 더욱 빠르게 확대될 것입니다. 중요한 것은 AI 도입 여부가 아니라, 각 조직의 보안 체계가 그 속도에 맞춰 함께 발전하고 있는지 여부입니다.
FAQs
CertiK AI Auditor란 무엇인가요?
AI Auditor는 스마트 컨트랙트와 블록체인 시스템의 취약점을 탐지하기 위해 여러 AI 모델을 병렬로 활용하는 CertiK의 AI 기반 감사 인프라입니다. 개발 속도에 맞춰 빠르고 정확한 보안 분석을 제공하도록 설계되었습니다.
CertiK AI Auditor의 정확도는 어느 정도인가요?
AI Auditor는 2026년에 발생한 실제 Web3 보안 사고 35건을 대상으로 한 평가에서 88.6%의 누적 정확 탐지율을 기록했으며, 오탐은 낮은 수준으로 유지했습니다.
CertiK AI Auditor는 금융기관도 사용할 수 있나요?
네, 가능합니다. CertiK AI Auditor는 블록체인 프로젝트 팀뿐만 아니라 블록체인 사업을 추진하는 금융기관, 핀테크 기업 및 관련 조직에서도 활용할 수 있는 AI 기반 코드 감사 도구입니다. 기관의 보안 요구사항과 개발 환경에 맞춰 적용할 수 있으며, 스마트컨트랙트 및 블록체인 애플리케이션 개발 과정에서 잠재적인 보안 취약점과 로직 결함, 리스크 요인을 사전에 식별해 보안 검토 효율성을 높이고 리스크 관리 역량 강화에 도움을 줄 수 있습니다.
Openclaw 보안 사고란 무엇인가요?
Openclaw는 오픈소스 AI 에이전트 플랫폼입니다. 2026년 초 CertiK 연구진은 Openclaw 생태계를 분석한 결과, 1월 말 기준 ClawHub에 등록된 스킬의 약 12%가 악성으로 확인됐음을 발견했습니다. 이후 2월 중순에는 1,184개의 악성 패키지에 포함된 824개 이상의 악성 스킬이 확인되면서 문제가 더욱 심각해졌습니다.
Lobstar Wilde 사고란 무엇인가요?
2026년 2월 발생한 Lobstar Wilde 사고에서는 AI 에이전트가 세션 메모리를 상실한 상태에서 소셜미디어 게시물을 정상적인 자산 이전 요청으로 잘못 해석했습니다. 그 결과 X(구 트위터)의 한 사용자에게 최대 45만 달러 상당의 토큰을 전송했으며, 해당 온체인 거래는 되돌릴 수 없었습니다.
Web3에서 AI 보안이 중요한 이유는 무엇인가요?
AI 에이전트는 점점 더 자율적으로 디지털 자산을 관리하고 거래를 수행하는 역할을 맡고 있습니다. 그러나 적절한 보안 프레임워크가 마련되지 않을 경우, 메모리 관리 취약점, 플러그인 무결성 문제, 권한 통제 미비 등으로 인해 상당한 규모의 금전적 손실이 발생할 수 있습니다.
