6월 26일부터 27일까지, 글로벌 최대 Web3 보안 기업 CertiK가 이스탄불 블록체인 위크(IBW 2025)에 참석하여, 최고 비즈니스 책임자 Jason Jiang이 두 차례의 원탁 포럼에 참석해 CertiK의 AI와 Web3 융합 분야에 대한 최신 관찰과 보안 통찰을 공유했습니다. 그는 프라이스워터하우스쿠퍼스 터키 사이버보안 서비스 책임자 Nurettin Erginoz, Bitlayer 공동 창립자 Charlie Hu 등 전문가들과 함께 DeFi에서의 AI 기술 적용 현황과 보안 과제를 논의했습니다.
포럼에서 Jason Jiang은 대규모 언어 모델(LLM)과 AI 에이전트의 빠른 발전에 따라 완전히 새로운 금융 패러다임인 DeFAI(탈중앙화 인공지능 금융)가 점진적으로 형성되고 있다고 지적했습니다. 그러나 이러한 변화는 새로운 공격 지점과 보안 위험도 가져왔습니다.
"DeFAI는 광범위한 전망을 가지고 있지만, 탈중앙화 시스템의 신뢰 메커니즘을 재검토해야 합니다," Jason Jiang은 말했습니다. "고정된 논리 기반의 스마트 계약과 달리, AI 에이전트의 의사결정 과정은 컨텍스트, 시간, 심지어 과거 상호작용의 영향을 받습니다. 이러한 예측 불가능성은 리스크를 악화시킬 뿐만 아니라 공격자에게 기회를 제공합니다."
"AI 에이전트"는 본질적으로 AI 논리를 기반으로 자율적인 의사결정과 실행을 할 수 있는 지능형 개체로, 일반적으로 사용자, 프로토콜 또는 DAO에 의해 승인되어 운영됩니다. 대표적인 예로 AI 트레이딩 봇이 있습니다. 현재 대부분의 AI 에이전트는 Web2 아키텍처 위에서 운영되며, 중앙화된 서버와 API에 의존하여 주입 공격, 모델 조작 또는 데이터 변조 등의 위협에 취약합니다. 한번 탈취되면 자금 손실뿐만 아니라 전체 프로토콜의 안정성에도 영향을 미칠 수 있습니다.
구체적인 공격 사례를 공유하면서 Jason Jiang은 전형적인 시나리오를 설명했습니다: DeFi 사용자가 실행 중인 AI 트레이딩 에이전트가 소셜 미디어 메시지를 거래 신호로 모니터링할 때, 공격자가 "프로토콜 X가 공격받았다"와 같은 허위 경보를 게시하면 해당 에이전트가 즉시 긴급 청산을 시작할 수 있습니다. 이러한 작업은 사용자 자산 손실을 초래할 뿐만 아니라 시장 변동성을 유발하여 공격자가 프론트 러닝(Front Running)을 통해 이를 악용할 수 있습니다.
Jason Jiang은 AI 에이전트의 보안은 한 당사자가 단독으로 책임져서는 안 되며, 사용자, 개발자, 제3자 보안 기관의 공동 책임이라고 생각합니다.
먼저, 사용자는 에이전트가 가진 권한 범위를 명확히 알고, 신중하게 권한을 부여해야 하며, AI 에이전트의 고위험 작업을 검토해야 합니다. 둘째, 개발자는 설계 단계에서 프롬프트 강화, 샌드박스 격리, 속도 제한, 롤백 로직 등의 방어 조치를 구현해야 합니다. CertiK와 같은 제3자 보안 회사는 AI 에이전트의 모델 행동, 기반 인프라, 온체인 통합 방식에 대해 독립적인 검토를 제공하고, 개발자 및 사용자와 협력하여 리스크를 식별하고 완화 조치를 제안해야 합니다.
Jason Jiang은 경고했습니다: "AI 에이전트를 계속 '블랙박스'로 취급한다면, 현실 세계에서 보안 사고가 발생하는 것은 시간 문제입니다."
DeFAI 방향을 탐색 중인 개발자들에게 Jason Jiang의 조언은 다음과 같습니다: "스마트 계약과 마찬가지로 AI 에이전트의 행동 논리도 코드로 구현됩니다. 코드인 만큼 공격받을 가능성이 있으므로 전문적인 보안 감사와 침투 테스트가 필요합니다."
