블록체인 보안 시장에서 인공지능(AI)을 활용한 ‘개발 단계 내재형 보안’ 경쟁이 본격화되고 있다.
글로벌 Web3 보안 기업 CertiK은 7일 AI 기반 감사 도구 ‘AI Auditor’를 출시하고, AI 개발 에이전트를 위한 오픈소스 통합 솔루션을 함께 공개했다. 해당 시스템은 약 6개월간 실제 환경에서 검증을 거친 뒤 외부에 공개됐다.
AI Auditor의 핵심은 높은 탐지 정확도와 낮은 오탐율이다. 회사 측에 따르면 2026년 발생한 35건의 실제 Web3 보안 사고를 기반으로 한 테스트에서 전체 취약점 원인의 88.6%를 식별했다. 테스트 데이터는 모델 학습 과정에서 제외된 별도 데이터로 구성됐다는 설명이다.
기술 구조 측면에서는 ‘저노이즈·고신호’ 원칙이 강조됐다. 기존 취약점 탐지 도구가 과도한 오탐으로 개발자의 부담을 키웠던 반면, AI Auditor는 실제 위험 가능성이 높은 취약점만 선별적으로 제시하는 데 초점을 맞췄다. 불필요한 경고를 줄여 개발 효율성을 높이겠다는 접근이다.
보안 적용 방식도 변화했다. 기존 Web3 프로젝트에서는 개발 완료 이후 감사가 이뤄지는 경우가 일반적이었다. 반면 이번 솔루션은 개발 워크플로우에 직접 통합돼 코드 작성 단계부터 보안 점검이 가능하도록 설계됐다. 개발자는 별도의 환경 전환 없이 실시간 보안 인사이트를 확인할 수 있다.
핵심 기술로는 다단계 검증 구조가 적용됐다. MultiScanner 프레임워크를 통해 여러 전문 스캐너를 동시에 실행하고, 이후 검증 단계에서 경보를 중복 제거하고 실제 악용 가능성을 교차 분석하는 방식이다. 단일 모델 의존도를 낮추고 탐지 신뢰도를 높이기 위한 설계다.
또한 최신 공격 사례와 취약점 정보를 반영한 위협 지식 베이스를 지속적으로 업데이트해, 변화하는 보안 위협에 대응할 수 있도록 했다. 정적 학습 모델의 한계를 보완하려는 시도로 풀이된다.
시장 환경도 빠르게 변하고 있다. AI 코딩 도구와 자동화 에이전트가 개발 현장에서 확산되면서 보안 역시 사후 대응 중심에서 사전 예방 중심으로 이동하는 흐름이 뚜렷해졌다. 개발 단계에서 보안을 내재화하는 방식이 새로운 표준으로 자리 잡고 있다는 분석이다.
다만 AI 기반 보안 도구의 한계도 존재한다. 복잡한 프로토콜 수준의 취약점이나 새로운 유형의 공격에 대해선 여전히 인간 전문가의 판단이 필수적이다. CertiK 역시 AI Auditor를 대체 수단이 아닌 보조 도구로 규정하고, 반복적인 분석 작업을 자동화하는 데 초점을 맞췄다고 밝혔다.
룽후이 구 공동 창립자는 “핵심은 AI가 얼마나 많은 취약점을 찾느냐가 아니라, 개발팀이 주목해야 할 문제를 얼마나 빠르게 식별하도록 돕느냐에 있다”고 설명했다.
AI Auditor는 모듈형 구조로 설계돼 다양한 개발 환경에 적용 가능하다. DeFi 프로토콜을 포함한 기관급 애플리케이션에도 확장 적용이 가능하다는 점에서 향후 활용 범위가 넓어질 것으로 보인다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
