**이더리움 재단(Ethereum Foundation)**은 서로 연계된 AI 에이전트를 활용한 보안 점검 과정에서 실제 소프트웨어 버그를 찾아냈다고 밝혔다. 이는 이더리움 (ETH)이 대규모 프로토콜 전환을 앞두고 네트워크 방어 태세를 강화하는 움직임의 일환이다.
핵심 요약
- AI 에이전트가 원격으로 합의 클라이언트를 마비시킬 수 있는 취약점을 포함해 실제 결함을 포착.
- 자동화된 시스템이 점검 범위를 넓혀줬지만, 매우 그럴듯한 ‘거짓 양성(오탐)’도 대거 생성.
- 발견 결과의 진위와 심각도를 판단하는 데는 여전히 인간 보안 전문가가 필수.
이더리움, AI 활용한 보안 실험
재단 프로토콜 보안팀은 보고서에서, 여러 AI 에이전트를 조합해 이더리움 코드를 분석한 결과, 합의 클라이언트의 P2P 레이어에서 원격으로 패닉을 유발할 수 있는 취약점 등 실제 결함을 찾아냈다고 설명했다. 해당 취약점은 이미 패치된 상태다.
연구진이 특히 주목한 대목은 “AI가 버그를 찾을 수 있느냐”가 아니었다. 오히려 “진짜 취약점과 겉보기만 그럴듯한 오류를 가려내는 데 훨씬 더 많은 노력이 들었다”는 점이 예상 밖이라는 평가다.
팀은 보고서에서 이렇게 적었다.
“진짜로 놀라운 점은 버그를 찾아내는 데 쏟은 시간보다, ‘진짜’ 버그와 진짜처럼 보이는 가짜를 구분하는 데 훨씬 더 많은 시간이 들어갔다는 사실입니다.”
재단은 Anthropic과 Cloudflare의 기존 연구를 참고해, AI 에이전트 작업을 정찰(reconnaissance)·헌팅(hunting)·공백 메우기(gap-filling)·검증(validation) 등 여러 역할로 나눠 설계했다. 에이전트들은 사양서와 실제 코드를 연결해 보고, 잠재적인 결함의 ‘루트 원인’을 추론하는 데 강점을 보인 것으로 전해졌다.
다만 시스템은 때때로 실제로는 도달 불가능한 호출 체인을 공격 경로로 오인하거나, 취약점의 심각도를 과장하는 한계를 드러냈다. 팀은 따라서 “보고된 취약점이 실제로 재현 가능한지, 그리고 실무적으로 얼마나 위험한지”를 검증하는 역할은 여전히 인간 보안 전문가에게 남아 있다고 선을 그었다.
보고서는 다음과 같이 정리한다.
“에이전트 덕분에 우리가 수작업으로는 도저히 커버할 수 없을 만큼 넓은 영역을 점검할 수 있게 됐습니다. 그 대신, 훨씬 더 많은 ‘자신만만한 주장’ 더미를 놓고 훨씬 더 신중한 판단을 요구하는 셈이죠.”
함께 읽기: 찰스 호스킨슨, 카르다노 떠난다? “완전한 거짓” 정면 반박
이더리움 보안 전략의 전환점
이번 AI 실험은 재단이 역할 재조정을 추진하는 시점에 맞춰 진행됐다. 이더리움 재단은 현재 레이어1(베이스 레이어) 개발, 암호학적 보안, 긴급 패치 등 핵심 영역에 역량을 집중하는 한편, 나머지 책임은 더 넓은 이더리움 생태계로 분산하는 방안을 추진 중이다.
재단은 인력을 약 20% 감축하고 연간 예산도 절반 가까이 줄였다. 프로토콜 서포트(Protocol Support) 등 일부 팀은 해산됐고, 그 빈자리를 메우기 위해 Ethlabs, Ethereum Institutional 등 새로운 조직이 등장해 추가 연구·개발 역량을 제공하고 있다.
이러한 구조 개편은 제안된 ‘린 이더리움(Lean Ethereum)’ 로드맵과 맞물려 있다. **비탈릭 부테린(Vitalik Buterin)**은 이 로드맵을 완전히 구현하는 데 최대 4년이 걸릴 수 있다고 언급한 바 있다. 이 계획은 여러 네트워크 구성요소를 손보면서 처리 속도 개선, 복원력 강화, 그리고 장기적으로 양자컴퓨터 위협까지 고려한 보안 체계 구축을 목표로 한다.
이더리움이 마지막으로 이 정도 규모의 변화를 겪은 것은 작업증명(PoW)에서 지분증명(PoS)으로 전환한 ‘머지(The Merge)’ 때였다. 당시에도 네트워크 설계가 근본적으로 바뀌면서 보안·검증 체계가 전면 교체됐다. 현재 진행 중인 AI 활용 보안 강화와 구조 개편은, 또 한 번의 대규모 재설계를 앞두고 엔지니어링 부담이 크게 늘어난 현실을 반영한다.





