오픈제플린(Openzeppelin)의 공동 창립자 마누엘 아라오즈(Manuel Aráoz)는 탈중앙화 금융(DeFi)이 안전하지 않다고 주장하며 업계 전반에 걸쳐 광범위한 논쟁을 불러일으켰다. 업계 리더들은 아라오즈의 주장이 위험을 과장하고 있다며, 2020년 이후 DeFi 대출 보안이 약 98% 개선되었다고 반박했다.
모든 디파이(DeFi)가 위험한가? 오픈제플린(Openzeppelin) 창립자가 소매 투자자들에게 우량 종목에서 철수하라고 경고하자 업계 리더들이 반박에 나섰다
공유
주요 내용
- 오픈제플린(Openzeppelin)의 공동 창립자 마누엘 아라오즈의 최근 발언이 디파이(DeFi) 보안에 대한 우려를 다시 불러일으켰다.
- 0G 랩스(0G Labs)의 하인리히 CEO는 2020년 이후 대출 안전성이 98% 향상되었다고 언급하며, 모든 DeFi가 안전하지 않다는 주장을 반박했다.
- Cysic의 팬은 2029년까지 보험 시장이 5배로 성장할 것으로 전망하며, 규제 당국이 AI 코드보다 운영 보안(opsec)에 중점을 둘 것을 촉구했다.
드라마에서 데이터로 전환
오픈제플린(Openzeppelin)의 공동 창립자이자 전 최고기술책임자(CTO)인 마누엘 아라오즈가 탈중앙화 금융(DeFi)을 완전히 안전하지 않다고 규정하자, 해킹 급증으로 이미 흔들리고 있던 업계는 큰 충격을 받았다. 이러한 취약성을 부각시키듯, 블록체인 보안 기업 펙스실드(Peckshield)의 최근 분석에 따르면 올해 초부터 5월 중순까지 크로스체인 프로토콜 악용만으로도 3억 2,860만 달러가 유출된 것으로 나타났다.
아라오즈의 경고가 화제가 되면서 오픈제플린은 그의 주장 일부와 공개적으로 거리를 두어야 했지만, 이 발언은 DeFi 보안에 대한 격렬한 논쟁을 불러일으키는 데는 성공했다. 그럼에도 비평가들은 그의 극적인 표현을 공포와 패닉을 조장하려는 이기적인 시도라고 일축했다. 사이식(Cysic)의 설립자 레오 팬(Leo Fan)과 같은 다른 이들은 이러한 프레임이 실질적인 핵심을 가진 메시지의 신뢰성을 훼손한다고 믿는다.
"‘모든 것을 빠져나오라’는 식으로 포장하면 필요한 경고가 비관론자의 콘텐츠로 전락합니다,"라고 팬은 말했다. "이 분야에서 사람들을 움직이려면 과장된 표현이 아니라 숫자가 필요합니다." 0G 랩스의 공동 창립자이자 CEO인 마이클 하인리히도 같은 의견을 피력하며, 2020년 기준 대비 디파이 대출 보안이 약 98% 개선되었다는 점을 지적했다. 하인리히는 또한 주요 대출 프로토콜의 일일 손실률이 현재 약 0.001%로 현저히 감소한 점을 아라오즈의 "모든 DeFi는 안전하지 않다"는 주장을 반박하는 또 다른 근거로 제시했다. 하인리히는 Bitcoin.com News와의 인터뷰에서 "소매 투자자들에게 Aave나 Maker 같은 우량 기업에서 빠져나오라고 말하는 것은 실제 위험 조정된 상황과 맞지 않는다"고 말했다.
DeFi에 반대하는 주장을 펼치며 아라오즈는 인공지능(AI) 코딩 에이전트가 오픈소스 스마트 계약을 스캔하고 복잡한 악용 가능한 결함을 기계 속도로 식별하는 데 있어 놀라울 정도로 발전했다고 주장했다. 이러한 에이전트가 제기하는 위협은 너무나 커서 그는 친구와 가족들에게 오래전부터 자리 잡은 주요 "우량" DeFi 프로토콜에서의 포지션을 완전히 청산하라고 비공개적으로 조언하기도 했다.
정적 감사의 종말
그러나 하인리히와 팬은 초인적인 AI 공격자의 등장이 방어자들이 손을 놓아야 한다는 의미는 아니라고 주장한다. 대신, 이는 업계가 보안에 접근하는 방식에 근본적인 변화가 필요함을 의미한다고 말한다. "특정 시점의 감사는 이미 죽었다. 단지 사람들이 장례식을 치르지 않았을 뿐이다,"라고 팬은 말했다. 그는 감사에서 버그 바운티로 완전히 전환하는 것은 잘못된 교훈이라고 경고했다. "예방을 모니터링으로 대체해서는 안 됩니다. 둘 사이의 간극을 좁혀야 합니다." 하인리히에 따르면, 연례 감사에만 의존하는 것은 더 이상 신뢰할 수 있는 방어 수단이 아닙니다. 대신, 스마트 계약 보안의 미래는 감사가 단일 이벤트가 아닌 첫 번째 체크포인트 역할을 하는, 기계 속도의 다층적 방어 파이프라인에 달려 있습니다. 그는 4단계 보안 스택을 제시했다. 배포 전 AI 지원 감사와 인간 검토의 결합, 배포 후 지속적인 모니터링, 충분한 자금이 투입된 버그 바운티, 그리고 방어 측의 검증 가능한 AI가 그것이다. 하인리히는 궁극적인 목표는 주관적인 검토 대신 수학적 증명을 사용하는 중요 경로에 대한 형식적 검증을 도입하고, 공격자가 활동하는 방식과 동일하게 실제 계약에 대해 지속적으로 AI를 활용한 검토를 병행하는 것이라고 언급했다.
"감사는 사라지지 않습니다,"라고 그는 말했다. "감사는 기계 속도의 방어 파이프라인에서 첫 번째 점검 지점이 될 것입니다." 예방적 보안 파이프라인을 넘어, 위험 완화에 대한 논의는 필연적으로 보험으로 이어지는데, 하인리히는 암호화폐 생태계에서 보험이 여전히 심각하게 미비한 상태라고 지적한다. 하인리히에 따르면, 몇 가지 구조적 장애물이 탈중앙화 보험 부문의 성장을 가로막고 있다. 첫째, 보험 풀은 DeFi의 다른 곳에서 수익을 창출할 수 있는 자본을 묶어두게 된다.
이 점을 설명하기 위해 하인리히는 시장 선두주자인 넥서스 뮤추얼(Nexus Mutual)을 예로 들었습니다. 넥서스 뮤추얼은 총 잠금 가치(TVL)가 400억 달러에서 1,000억 달러 이상 사이에서 등락하는 광범위한 디파이(DeFi) 시장에 비해 약 1억 9,000만 달러의 자금을 보유하고 있습니다. 하인리히는 이러한 자본 비율이 구조적으로 취약하다고 지적합니다. 또 다른 장애물은 온체인 악용(on-chain exploit)의 정의를 내리는 것으로, 그는 이를 결코 사소한 작업이 아니라고 설명합니다.
이러한 장애물에도 불구하고, 하인리히는 프로토콜 전반에 보험 의무를 부과하는 것이 채택을 촉진하는 데 있어 잘못된 수단이라고 주장한다. 대신 업계는 제품 차원에서 혁신을 이뤄야 한다. "실제로 변화를 이끌어내는 것은 검증 가능한 신호에 따라 자동으로 보험금을 지급하는 파라메트릭 온체인 상품과, 전통 시장의 청산 수수료가 작동하는 방식처럼 보험을 상품에 통합하는 프로토콜들입니다,"라고 하인리히는 말했다.
코드뿐만 아니라 운영까지 규제해야
현재의 안전망은 좁지만 시장 수요는 가속화되고 있다. 코인로(Coinlaw)의 2026년 3월 전망에 따르면, 탈중앙화 보험 시장은 2029년까지 약 5배 성장할 것으로 예상된다.
"자금은 유입되고 있습니다,"라고 하인리히는 언급했다. "부족한 것은 이를 활용할 수 있는 제품 플랫폼입니다." 기계 속도의 방어 체계와 자동화된 안전망으로의 업계 내부적 전환은 규제 감독에 대한 더 광범위한 의문을 제기한다. 정책 입안자들이 디지털 자산 보안을 점점 더 면밀히 검토함에 따라, 팬은 규제 당국이 악성 AI 시스템의 위협과 같은 잘못된 위험 요소에 지나치게 집중할 위험이 있다고 경고한다.
"더 현명한 규제 접근 방식은 AI 공격자들에 대해 특별히 공포에 질리는 것이 아닙니다,"라고 팬은 말했다. "실제로 자금이 유출되는 운영 계층, 즉 핵심 자산 보관, 다중 서명 거버넌스, 브리지 보안, 사고 대응에 집중하는 것입니다."
팬은 이러한 구체적인 취약 지점에 엄격한 운영 보안 기준을 적용함으로써 감독 기관이 실제 자본 손실의 대부분을 근절할 수 있다고 주장한다. 그는 스마트 계약 코드에만 집중하고 일상적인 운영을 소홀히 하는 것은 "10%만 규제하고 90%를 놓치는 것"에 해당한다고 경고했다. 또한 팬은 정책 입안자들이 지속적으로 과소평가하는 기술적 기초 요소인 '고급 암호학'을 지적했다.
"어떤 코드가 실행되었고 올바르게 실행되었는지를 증명하는 제로 지식 증명(zero-knowledge proofs)과 같은 암호화 증명은 PDF 감사 보고서보다 훨씬 더 나은 규정 준수 수단입니다,"라고 팬은 말했다. "이는 신뢰가 아닌 수학을 통해 검증 가능합니다. 바로 그 부분에 규제 당국의 역량이 집중되기를 바랍니다."
