a16z의 '법으로서의 규칙(Rules as Law)' 비전: AI 지원 형식 검증과 런타임 가드레일이 DeFi 보안을 재편하는 방법
2025년 12월, Anthropic의 연구원들은 AI 에이전트에게 실제로 취약점이 노출되었던 405개의 스마트 컨트랙트를 분석하도록 했습니다. 해당 에이전트는 그 중 51%인 207개에 대해 작동 가능한 익스플로잇(취약점 공격)을 생성했으며, 시뮬레이션된 환경에서 5억 5,000만 달러의 자금을 탈취했습니다. 익스플로잇 성공 1건당 비용은 얼마였을까요? 단돈 1.22달러였습니다.
이 단 하나의 데이터 포인트는 2026년 탈중앙화 금융(DeFi)이 직면한 실존적 위기를 여실히 보여줍니다. 2025년 크립토 해킹으로 소실된 34억 달러는 노력이 부족해서 발생한 결과가 아닙니다. 공격받은 프로토콜의 대부분은 감사를 받았으며, 일부는 여러 차례 감사를 거쳤습니다. 그것은 패러다임의 실패였습니다. 이제 a16z Crypto는 급진적인 대안을 제안합니다. "코드이즈로(Code is Law, 코드가 곧 법이다)"를 버리고, 수학적으로 증명된 안전 속성과 실시간 런타임 가드레일을 통해 대부분의 익스플로잇을 구조적으로 불가능하게 만드는 "스펙이즈로(Spec is Law, 명세가 곧 법이다)"를 수용하라는 것입니다.
34억 달러의 경고장
2025년의 수치는 경악스럽습니다. 가상자산 절도액은 34억 달러에 달했으며, 북한의 라자루스 그룹(Lazarus Group)만으로도 역대 최고치인 20억 2,000만 달러를 기록했습니다. 15억 달러 규모의 바이비트(Bybit) 거래소 해킹 사건은 연간 총 손실액의 44%를 차지했습니다. 단 세 건의 사건이 전체 도난액의 69%를 차지했습니다.
하지만 헤드라인 수치보다 더 우려스러운 점은 DeFi 분야에서 일어난 일입니다. 2025년 3월, 주요 DeFi 프로토콜의 재진입성(reentrancy) 취약점으로 인해 90초 만에 4,700만 달러가 유출되었습니다. 해당 컨트랙트는 세 개의 서로 다른 업체로부터 감사를 받은 상태였습니다. 세 업체 모두 이 취약점을 발견하지 못했습니다.
감사, 익스플로잇, 그리고 반복. 이 패턴은 수십 번이나 되풀이되었습니다. 전통적인 감사는 인간 리뷰어가 수행하는 특정 시점의 스냅샷일 뿐이며, 아무리 숙련된 리뷰어라도 복잡한 스마트 컨트랙트 내의 모든 가능한 상태 전이를 철저하게 검증할 수는 없습니다. 그들은 일반적인 패턴은 잡아내지만, 새로운 조합은 놓치곤 합니다. 그리고 AI가 익스플로잇 발견 비용을 기하급수적으로 낮추면서, 방어자가 허용할 수 있는 오차 범위는 0으로 수렴하고 있습니다.
"코드이즈로"에서 "스펙이즈로"로
"코드가 곧 법이다(Code is Law)"라는 문구는 이더리움 탄생 이래 크립토의 철학적 근간이었습니다. 스마트 컨트랙트가 수행하는 모든 동작은 정의상 올바른 것으로 간주되었습니다. 2016년 DAO 해킹 사건은 이 원칙을 시험했습니다. 10년이 지난 지금, a16z Crypto는 이 원칙을 완전히 은퇴시켜야 할 때라고 주장합니다.
2026년 예측 보고서에서 a16z 연구원들은 "스펙이즈로(Spec is Law)"라고 부르는 프레임워크를 제안합니다. 이는 프로토콜이 안전 속성(명세)을 공식적으로 정의하고, 배포 전 검증부터 런타임 실행에 이르기까지 모든 레이어에서 이를 강제하는 체계입니다. 핵심 통찰력은 다음과 같습니다. 이전에 본 적 없는 새로운 공격이라 할지라도, 시스템을 온전하게 유지하는 동일한 안전 속성을 만족해야 한다는 것입니다. 이러한 속성이 엄격하게 정의되고 강제된다면, 살아남을 수 있는 익스플로잇은 "아주 미미하거나 실행하기 극도로 어려운" 것들뿐일 것입니다.
이것은 이론적인 연습이 아닙니다. 두 개의 보완적인 레이어로 구성된 구체적인 엔지니어링 처방입니다.
레이어 1: 정적 형식 검증 (배포 전)
형식 검증(Formal verification)은 수학적 증명을 사용하여 스마트 컨트랙트가 인간 테스터가 확인하려고 생각한 것뿐만 아니라, 가능한 모든 입력 및 상태 전이 하에서 특정 속성을 만족함을 입증합니다. 시나리오의 하위 집합만 탐색하는 퍼징(fuzzing)이나 단위 테스트(unit testing)와 달리, 형식 검증은 철저합니다.
이 접근 방식은 프로토콜이 항상 참이어야 하는 속성인 '글로벌 인베리언트(global invariants, 불변 조건)'를 정의하도록 요구합니다. 대출 프로토콜의 경우, 인베리언트는 "담보의 총 가치는 항상 미상환 대출의 총 가치를 초과해야 한다"가 될 수 있습니다. DEX의 경우 "단일 스왑으로 풀에 포함된 가치보다 더 많은 가치를 추출할 수 없다"가 될 수 있습니다.
크립토 분야의 선도적인 형식 검증 업체인 Certora는 2025년에 이 접근 방식의 위력을 입증했습니다. 솔라나의 카미노 파이낸스(Kamino Finance)와 협력하여 Certora의 Prover는 두 개의 지급 능력 인베리언트를 체계적으로 평가했고, 정밀도 손실(precision loss) 취약점 — 사용자가 예치한 것보다 더 많은 담보를 상환받을 수 있게 하는 미묘한 반올림 버그 — 을 발견했습니다. 어떤 인간 감사자도 이를 잡아내지 못했습니다.
업계 전반에 걸쳐 Certora는 2025년에 총 1,965억 달러의 TVL(총 예치 자산)을 보호하고 720개 이상의 취약점이 실제 프로덕션에 노출되는 것을 방지했습니다. TVL 기준 상위 20개 DeFi 프로토콜 중 14개 — 해당 카테고리의 약 70% — 가 현재 Certora와 협력하고 있습니다. Certora Prover는 오픈 소스로 전환되었으며, 새로운 AI Composer 도구는 머신러닝을 ��사용하여 명세 작성을 돕고 인베리언트를 제안함으로써, 역사적으로 형식 검증의 비용을 지나치게 높였던 수동 엔지니어링 작업을 획기적으로 줄여줍니다.
레이어 2: 런타임 가드레일 (배포 후)
정적 검증은 배포 전에 버그를 잡아냅니다. 하지만 업그레이드 가능한 컨트랙트, 거버넌스 변경, 오라클 실패 또는 출시 후 발생하는 새로운 공격 벡터는 어떻게 해야 할까요? 여기서 a16z의 비전은 더욱 급진적으로 변합니다.
제안 내용은 다음과 같습니다. 안전 속성을 모든 트랜잭션이 만족해야 하는 런타임 어설션(assertion)으로 인코딩하는 것입니다. 트랜잭션이 인베리언트를 위반하는 경우 — 예를 들어, 단일 블록에서 프로토콜이 정의한 일정 비율 이상의 풀 자금을 유출하려는 경우 — 상태 변경이 확정되기 전에 트랜잭션이 자동으로 되돌려집니다(revert).
이를 스마트 컨트랙트를 위한 서킷 브레이커(차단기)라고 생각하십시오. 전통적인 금융 거래소는 변동성이 임계값을 초과하면 거래를 중단합니다. 런타임 가드레일은 동일한 작업을 수행하지만, 인간의 개입 없이 블록 생성 속도에 맞춰 코드로 강제됩니다.
바로 이러한 인프라를 구축하고 있는 스타트업인 가드레일(Guardrail)은 이상 징후를 감지하고 위험한 트랜잭션을 시뮬레이션하며 런타임 검사를 수행하는 295개 이상의 맞춤형 "가드(guards)"를 배포합니다. 이 플랫폼은 13억 달러 이상의 자산을 보호하며, 취약한 기능을 자동으로 일시 중지하거나 악의적인 지갑을 실시간으로 차단할 수 있습니다.
a16z의 연구원들은 "실제로 지금까지 발생한 거의 모든 익스플로잇은 실행 중에 이러한 체크 중 하나에 걸렸을 것이며, 잠재적으로 해킹을 중단시켰을 것"이라고 언급합니다. 4,700만 달러 규모의 재진입 공격요? 각 트랜잭션 전후의 풀 잔액에 대한 간단한 인베리언트 체크만 있었어도 막을 수 있었을 것입니다. 15억 달러 규모의 바이비트 해킹요? 출금 속도와 목적지 주소에 대한 런타임 모니터링이 자동 일시 중지를 트리거할 수 있었을 것입니다.
AI 군비 경쟁: 공격과 방어의 만남
이 패러다임 전환의 배후에 있는 시급함은 새로운 현실에 의해 주도됩니다. AI는 방어를 강화하는 것보다 공격을 더 빠르고 저렴하게 만들고 있습니다.
Anthropic의 SCONE-bench 연구는 냉혹한 현실을 보여줍니다. 2020년에서 2025년 사이에 배포된 405개의 실제 익스플로잇(exploit)된 컨트랙트를 대상으로 작업한 그들의 AI 에이전트는 51%의 성공률을 기록했습니다. 2025년 6월 이후에 익스플로잇된 컨트랙트, 즉 AI가 이러한 특정 취약점에 대한 학습 데이터가 전혀 없었던 사례에서도 Claude Opus 4.5, Claude Sonnet 4.5 및 GPT-5는 총 460만 달러 규모의 익스플로잇을 공동으로 생성해냈습니다.
가장 놀라운 점은, 알려진 취약점이 없는 최근 배포된 2,849개의 컨트랙트를 ��이 에이전트들에게 분석하게 했을 때, 두 개의 실제 제로데이(zero-day) 취약점을 발견했다는 것입니다. 시뮬레이션된 자금 탈취를 통한 익스플로잇 수익은 대략 1.3개월마다 두 배로 증가한 반면, 성공적인 익스플로잇당 컴퓨팅 비용은 6개월 만에 70% 이상 감소했습니다.
공격형 AI 기능의 이러한 기하급수적인 향상은 감사인을 고용하고, 보고서를 받고, 배포한 뒤 기도하는 식의 기존 보안 모델이 구조적으로 부적절함을 의미합니다. a16z 프레임워크는 인간의 코드 리뷰 속도가 아니라 명세(specification)의 속도로 향상되는 방어 체계를 구축함으로써 이 문제를 해결합니다.
AI는 또한 방어 측면에도 힘을 실어주고 있습니다. 2025년 12월 알파 버전으로 출시된 Certora의 AI Composer는 정형 검증(formal verification)을 코드 생성 프로세스에 직접 통합한 최초의 AI 코딩 플랫폼입니다. 특정 목적을 위해 구축된 AI 보안 에이전트는 통제된 연구에서 92%의 취약점 탐지율을 입증했습니다. 2026년의 보안 감사는 완전히 자동화된 것이 아니라, AI 분석의 가이드를 받는 인간 전문가가 절반의 시간 만에 10배 더 넓은 영역을 검토하는 방식이 될 것입니다.
실전 도입: 누가 이런 방식으로 구축하고 있는가?
이론에서 실습으로의 전환은 이미 진행 중입니다.
Aave V4는 DeFi 역사상 가장 포괄적인 레이어드 보안 구현을 나타냅니다. 프로토콜의 보안 검토는 2025년 초부터 2026년 2월까지 약 1년 동안 진행되었으며, DAO에서 승인한 150만 달러의 예산이 투입되었습니다. Certora는 초기 설계 단계부터 개발자들과 협력하여 정형 검증 및 불변성 테스트(invariant testing)를 수행했으며, ChainSecurity, Trail of Bits, Blackthorn은 여러 차례의 수동 감사를 실시했습니다. 그 결과, 배포 전에는 안전 속성이 수학적으로 검증되고 배포 후에는 지속적으로 모니터링되는 프로토콜이 탄생했습니다.
솔라나(Solana)의 Kamino Finance는 Certora Prover를 사용하여 임계 불변성을 확인하기 시작했으며, 이를 통해 담보 과잉 상환을 허용했을 수도 있는 정밀도 손실 취약점을 포착했습니다. 이는 과거에 인간 감사자가 놓치기 쉬웠던 전형적인 엣지 케이스(edge case)였습니다.
Sui 생태계는 언어 수준에서 정형 검증을 수용했으며, Sui Prover가 오픈 소스로 전환됨에 따라 비행 제어 시스템 및 프로세서 설계에 사용되는 것과 동일한 기술인 수학적 검증을 Move VM상의 일상적인 스마트 컨트랙트 개발에 도입했습니다.
Guardrail은 프로덕션 프로토콜을 위한 런타임 강제 실행(runtime enforcement)을 운영화하여, 이론적인 "서킷 브레이커(circuit breaker)" 개념을 실제 자산을 보호하는 배포된 인프라로 전환하고 있습니다.
여전히 남아있는 격차
이러한 진전에도 불구하고 중요한 격차는 여전히 존재합니다. 높은 TVL(총 예치 자산)을 보유한 프로토콜이 지속적인 적대적 테스트, 런타임 강제 실행 또는 에이전트 인식 모니터링을 실행해야 한다는 글로벌 요구 사항은 아직 없습니다. 프로토콜은 여전히 런타임 강제 실행 없이 출시될 수 있으며, 사용자들은 여전히 감사 PDF 보고서와 배지 하나만을 믿고 수십억 달러를 예치할 수 있습니다.
보험 시장이 자발적 도입이 이루어내지 못한 변화를 강제할 수도 있습니다. AI 기반 익스플로잇 발견이 더욱 쉬워짐에 따라, 보험 프로토콜은 보험 가입의 전제 조건으로 AI 모니터링을 요구하기 시작했습니다. 버그 바운티 플랫폼은 AI 에이전트를 1차 리뷰어로 통합하고 있습니다. 경제적 논리는 간단합니다. AI가 1.22달러로 익스플로잇을 찾을 수 있다면, 방어용 AI를 운영하지 않는 비용은 천문학적일 것입니다.
TVL 상승에도 불구하고 2025년 말 DeFi 해킹 피해가 억제된 것은 유의미한 진전을 시사합니다. Chainalysis는 이를 "TVL 상승이 보통 더 많은 공격 성공으로 이어졌던 이전 사이클과의 핵심적인 차이점"이라고 언급했습니다. 하지만 위협은 진화하고 있습니다. 북한의 TraderTraitor 그룹은 프로토콜 익스플로잇에서 클라우드 인프라 공격으로 방향을 틀었습니다. 이제 사회 공학적 기법(social engineering)이 스마트 컨트랙트 익스플로잇을 제치고 크립토의 주요 공격 벡터가 되었습니다. 보안 경계는 확장되고 있으며, 스마트 컨트랙트의 정형 검증은 필요하지만 충분하지는 않습니다.
"명세가 곧 법이다(Spec is Law)"가 DeFi의 미래에 의미하는 바
a16z의 비전이 완전히 실현된다면 DeFi 프로토콜을 배포한다는 것의 의미가 근본적으로 바뀔 것입니다. 출시 전에 모든 핵심 안전 속성은 단순히 테스트되거나 감사되는 것이 아니라, 가능한 모든 조건 하에서 유효함이 수학적으로 증명될 것입니다. 출시 후에는 런타임 가드레일이 이러한 속성을 실시간으로 강제하여, 프로토콜의 무결성을 위협하는 모든 트랜잭션을 자동으로 되돌릴(revert) 것입니다.
이것은 "빠르게 움직이고 파괴하라(move fast and break things)"가 아닙니다. 그 반대입니다. "정밀하게 움직이고 아무것도 파괴될 수 없음을 증명하라"는 것입니다. 이 접근 방식은 "작동한다고 생각한다"는 추측의 여지를 남기지 않는 정형 방법론(formal methods)을 통해 항공 및 반도체 산업이 안전을 다루는 방식을 거울처럼 반영합니다.
2026년 DeFi 보안 환경은 두 갈래로 나뉘고 있습니다. 한쪽에는 보안을 체크박스 정도로 취급하며 일회성 감사에 의존하고 AI 기반 공격자가 인간 감사자가 놓친 것을 찾지 못하기를 바라는 프로토콜이 있습니다. 다른 한쪽에는 보안을 아키텍처에 내재화하고 정형 검증과 런타임 강제 실행을 사용하여 전체 익스플로잇 클래스를 구조적으로 불가능하게 만드는 프로토콜이 있습니다.
2025년에 손실된 34억 달러는 과거 방식의 대가입니다. "명세가 곧 법이다" 프레임워크는 업계가 더 잘할 수 있고, 또 그래야만 한다는 a16z의 베팅입니다.
블록체인 �인프라를 구축하려면 신뢰할 수 있는 기반이 필요합니다. BlockEden.xyz는 Ethereum, Sui, Aptos 및 20개 이상의 체인에서 엔터프라이즈급 RPC 및 API 서비스를 제공합니다. 이는 보안을 중시하는 개발자들에게 필요한 신뢰할 수 있는 인프라입니다. 지속 가능하도록 설계된 기반 위에서 구축하려면 당사의 API 마켓플레이스를 살펴보세요.