본문으로 건너뛰기

Google Cloud의 MCP Web3 보안 프레임워크: AI 에이전트가 당신의 지갑을 비우지 못하게 하는 방법

· 약 8 분
Dora Noda
Dora Noda
Software Engineer

토큰을 자율적으로 거래하고, DeFi 포지션을 리밸런싱하며, 자체 컴퓨팅 비용을 지불하는 AI 에이전트는 혁신적으로 들립니다. 하지만 프롬프트 인젝션(prompt-injection) 공격을 받아 사용자의 전 재산을 공격자에게 전송하게 된다면 이야기는 달라집니다. 구글 클라우드(Google Cloud)가 최근 발표한 MCP Web3 보안 프레임워크는 바로 이러한 악몽과도 같은 상황을 해결하며, 블록체인과 상호작용하는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP) 에이전트를 보호하기 위한 엔터프라이즈급 청사진을 제시합니다.

다음은 이 프레임워크가 권장하는 내용과 그것이 중요한 이유, 그리고 Coinbase, Ledger, 그리고 새롭게 부상하는 x402 결제 표준과 같은 경쟁 방식들과 비교했을 때의 특징입니다.

문제점: 지갑을 가진 AI 에이전트는 장전된 총과 같습니다

자율 AI와 블록체인의 결합은 독특한 위협 표면을 생성합니다. 결정론적 코드를 실행하는 전통적인 소프트웨어와 달리, 대규모 언어 모델(LLM)은 확률론적입니다. 즉, 세션 중간에 속거나, 혼란을 겪거나, 하이재킹당할 수 있습니다. 이러한 모델이 개인 키를 보유하거나 온체인 자금에 대한 서명 권한을 가질 때, 위험 수준은 단순히 "틀린 답변"에서 "되돌릴 수 없는 재정적 손실"로 급격히 상승합니다.

수치상으로도 그 시급함이 드러납니다. Anthropic의 레드팀 테스트 결과, AI 에이전트가 405개의 테스트 스마트 컨트랙트 중 207개를 성공적으로 공격하여 시뮬레이션된 자금 5억 5천만 달러를 탈취했습니다. 더 놀라운 것은, 블록체인 취약점에 대한 AI 기반 공격이 단 1년 만에 전체 공격의 2%에서 거의 56%로 급증했다는 점입니다. 한편, 공격자가 겉보기에는 무해한 데이터에 악의적인 명령을 심어 넣는 프롬프트 인젝션은 지갑 액세스 권한이 있는 에이전트에게 가장 치명적인 공격 벡터로 남아 있으며, 에이전트에게 자금을 공격자가 제어하는 주소로 송금하도록 지시할 수 있습니다.

구글 클라우드의 프레임워크는 업계에 가드레일이 절실히 필요한 시점에 등장했습니다. AI 에이전트 시장이 520억 달러를 넘어설 것으로 예상되고 이미 수백 개의 MCP 지원 블록체인 도구가 출시된 상황에서, 성능과 보안 사이의 간극은 매우 위험해졌습니다.

수탁형(Custodial) vs. 비수탁형(Non-Custodial): 두 가지 아키텍처, 두 가지 리스크 프로필

구글 프레임워크의 핵심은 에이전트와 블록체인 간의 상호작용을 위한 두 가지 지배적인 모델에 대한 명확한 분석입니다.

수탁형 에이전트는 개인 키를 직접 제어합니다. 에이전트(또는 이를 호스팅하는 플랫폼)가 자금을 보유하고 자율적으로 트랜잭션에 서명할 수 있습니다. 이는 완전한 자율 운영을 가능하게 합니다. 예를 들어 에이전트는 사람이 승인하지 않아도 새벽 3시에 DeFi 포트폴리오를 리밸런싱할 수 있습니다. 하지만 그 대가는 가혹합니다. 에이전트의 호스트가 침해당하면 위임된 모든 지갑이 표적이 됩니다. 수탁형 모델은 플랫폼 수준에서 위험을 집중시켜 공격자들에게 매력적인 허니팟(honeypot)이 됩니다.

비수탁형 에이전트는 트랜잭션을 생성하지만 서명할 수는 없습니다. 에이전트는 서명되지 않은 트랜잭션을 준비하여 최종 승인을 위해 사용자(또는 하드웨어 지갑)에게 전달합니다. 구글 프레임워크는 날카로운 관찰을 내놓았습니다. MCP 서버가 이미 보유한 키로 트랜잭션을 준비하고 서명할 수 있다면, 마지막 서명 단계 없이도 동일한 로직을 수행할 수 있어야 한다는 것입니다. 이 "작은 변화는 훨씬 더 안전하고 유연한 패러다임을 열어줍니다." 에이전트는 분석 및 전략적 역량을 유지하는 반면, 자금 이동에 대한 최종 통제권은 사용자가 갖게 됩니다.

구글의 권고 사항은 명확합니다. 가능한 한 비수탁형을 기본으로 하되, 수탁형 액세스가 진정으로 필요한 경우 추가 보안 제어(TEE 격리, 지출 한도, 트랜잭션 시뮬레이션)를 계층화하라는 것입니다.

보안 스택: 온체인 에이전트를 위한 심층 방어

구글은 단일한 해결책을 제시하는 대신, 여러 독립적인 제어 장치가 서로의 맹점을 보완하는 계층형 보안 아키텍처를 개설합니다.

키 관리를 위한 TEE 격리

신뢰 실행 환경(Trusted Execution Environments, TEE) — Intel SGX나 AMD SEV와 같은 하드웨어 엔클레이브 — 은 개인 키가 에이전트의 프롬프트, LLM의 컨텍스트 윈도우, 심지어 호스트 운영 체제에도 노출되지 않고 존재할 수 있는 물리적으로 격리된 공간을 제공합니다. 한 보안 연구원의 말처럼, "물리 법칙을 패치하거나 칩을 사회 공학적으로 공격할 수는 없습니다." TEE 격리는 완전히 침해된 에이전트라 할지라도 서명 키를 추출할 수 없음을 보장합니다. 키가 하드웨어 엔클레이브를 절대 떠나지 않기 때문입니다.

최근 MoonPay가 Ledger 하드웨어 서명을 AI 에이전트 플랫폼에 통합한 것도 동일한 원칙을 따릅니다. 모든 AI 시작 트랜잭션에는 물리적 하드웨어 확인이 필요하며, 이를 통해 개인 키를 에이전트의 의사 결정 레이어와 영구적으로 분리합니다.

실행 전 트랜잭션 시뮬레이션

트랜잭션이 블록체인에 도달하기 전에, 프레임워크는 이를 시뮬레이션 환경에서 실행해 볼 것을 권장합니다. 이는 트랜잭션이 에이전트에게는 합법적으로 보이지만, 실제로는 유동성 풀을 고갈시키거나, 플래시 론 공격을 유발하거나, 합법적인 프로토콜로 위장한 악성 컨트랙트와 상호작용하는 등의 의도치 않은 결과를 초래하는 공격들을 차단합니다.

트랜잭션 시뮬레이션은 에이전트 자체의 오류에 대한 무결성 검사 역할도 합니다. LLM은 파라미터에 대한 환각(hallucination)을 일으키거나, 토큰 소수점을 오해하거나, 기술적으로는 유효하지만 경제적으로는 치명적인 트랜잭션을 구성할 수 있습니다. 시뮬레이션 레이어는 이러한 실수가 온체인에서 되돌릴 수 없게 되기 전에 포착해 냅니다.

속도 제한 및 지출 한도

TEE 격리와 시뮬레이션이 있더라도 Google은 하드코딩된 금융 안전장치를 권장합니다. 세션 수준 지출 한도는 단일 세션 내에서 에이전트가 거래할 수 있는 금액을 제한합니다. 거래당 한도는 개별 작업이 정의된 임계값을 초과하는 것을 방지합니다. 고액 거래 사이의 쿨다운 기간은 시간적 버퍼를 추가합니다.

ClawPay MCP와 코인베이스의 에이전틱 월렛(Agentic Wallets)은 이미 유사한 개념을 실행에 옮겼습니다. ClawPay는 에이전트 월렛 SDK를 내장된 지출 한도 집행 기능으로 감싸고 있습니다. 한도를 초과하는 거래는 즉시 거부되는 대신 승인을 위해 자동으로 대기열에 추가됩니다. 코인베이스의 에이전틱 월렛은 프로그래밍 가능한 세션 한도, 거래 제한, 그리고 고위험 상호작용이 실행되기 전에 이를 차단하는 규준 준수 지원 KYT (Know Your Transaction) 스크리닝 기능을 함께 제공합니다.

위임 기반 감사 추적

Google의 에이전트 결제 프로토콜 (AP2)은 "위임 (mandates)"을 도입합니다. 이는 사용자의 지시를 증명하는 변조 방지 기능과 암호화 서명이 포함된 디지털 계약입니다. 모든 거래는 원래의 사용자 의도와 연결되는 부인 방지 감사 추적을 포함합니다. 이는 단순한 보안 쇼가 아니라, 자율 에이전트가 권한 범위 내에서 행동했다는 증거를 요구하는 규제 당국의 요구에 부응하는 기관 도입을 위한 필수 규정 준수 사항입니다.

광범위한 생태계: Google의 프레임워크가 어떻게 조화를 이루는가

Google의 프레임워크는 고립되어 존재하는 것이 아닙니다. 이는 2026년 에이전틱 금융의 보안 환경을 함께 정의하는 여러 경쟁 및 보완적 접근 방식과 함께 등장했습니다.

코인베이스 에이전틱 월렛 및 x402

코인베이스의 에이전틱 월렛은 완전한 자율성을 위해 특별히 제작된 수탁형 (custodial) 방식을 대표합니다. 이들은 엔클레이브 격리를 사용하여 프라이빗 키를 안전한 코인베이스 인프라에 보관하며, 에이전트의 프롬프트나 LLM에 절대 노출되지 않도록 합니다. 현재 5,000만 건 이상의 거래를 관리하는 x402 프로토콜과 결합하여, 에이전트가 USDC와 같은 스테이블코인을 사용하여 API 액세스, 컴퓨팅 및 데이터 비용을 자율적으로 결제할 수 있게 해줍니다.

코인베이스 및 Cloudflare와 협력하여 설립된 x402 재단은 멀티 체인 지원 및 토큰 불가지론적 설계를 갖춘 개방형 사양을 관리합니다. HTTP 402 "Payment Required" 메커니즘을 통해 모든 API 엔드포인트가 응답을 제공하기 전에 결제를 요청할 수 있게 함으로써, 에이전틱 인터넷을 위한 네이티브 결제 레이어를 구축합니다.

Ledger 하드웨어 서명

MoonPay의 Ledger 통합은 최대한의 비수탁형 (non-custodial) 접근 방식을 나타냅니다. AI 에이전트가 시작하는 모든 거래는 Ledger 장치에서 물리적으로 승인되어야 합니다. 이는 프롬프트 인젝션을 통한 자금 탈취를 완전히 제거합니다. 공격자가 에이전트에 대한 디지털 액세스 권한과 하드웨어 월렛에 대한 물리적 액세스 권한을 모두 가져야 하기 때문입니다. 다만 지연 시간과 완전한 자율성 상실이라는 기회비용이 발생하므로, 보안이 속도보다 중요한 고액 작업에 가장 적합합니다.

학술적 관점

2026년 1월에 발표된 "블록체인상의 자율 에이전트 (Autonomous Agents on Blockchains)" 논문은 Google의 프레임워크가 실현하는 신뢰 경계를 공식화했습니다. 연구에 따르면 네트워크로 연결된 에이전트 시스템에서 단 하나의 손상된 에이전트가 4시간 이내에 다운스트림 의사 결정의 87%를 오염시킬 수 있다는 사실이 밝혀졌으며, 이는 모든 레이어에서의 격리와 독립적 검증에 대한 Google의 강조를 뒷받침합니다.

빌더들을 위한 시사점

블록체인과 상호작용하는 AI 에이전트를 구축하는 개발자들에게 Google의 프레임워크는 실질적인 의사 결정 트리를 제공합니다.

  • 소액의 고빈도 작업 (마이크로 결제, API 액세스, 데이터 검색): 지출 한도가 있는 수탁형 월렛과 결제를 위한 x402를 사용하세요. 거래당 리스크가 작고, 완전한 자율성의 속도 이점이 수탁 모델을 정당화합니다.

  • 중간 규모의 DeFi 작업 (이자 농사, 포트폴리오 리밸런싱): 거래 시뮬레이션을 포함한 TEE 격리 키 관리를 사용하세요. 에이전트는 정의된 매개변수 내에서 자율적으로 작동하지만, 모든 거래는 실행 전에 검증됩니다.

  • 고액 또는 비가역적 작업 (대액 송금, 거버넌스 투표, 컨트랙트 배포): 하드웨어 서명이 포함된 비수탁형 아키텍처를 사용하세요. 에이전트는 제안을 작성하고 권장하며, 사람 (또는 하드웨어 장치)이 이를 승인합니다.

  • 멀티 에이전트 시스템: 위임 기반 감사 추적을 구현하고 각 에이전트의 권한 범위를 격리하세요. 단일 에이전트의 손상이 네트워크 전체로 확산되지 않도록 해야 합니다.

이 프레임워크는 또한 해서는 안 될 행동을 강조합니다. LLM의 컨텍스트 윈도우에 프라이빗 키를 노출하지 말고, 시뮬레이션 없이 에이전트가 생성한 거래를 신뢰하지 마십시오. 또한 기저 모델이 아무리 "안전"하다고 주장하더라도 속도 제한 없이 수탁형 에이전트를 배포하지 마십시오.

향후 과제

AI와 블록체인 상호작용의 보안을 확보하기 위한 경쟁은 이제 시작되었습니다. Google의 MCP Web3 보안 프레임워크는 현재까지 발표된 가장 포괄적인 기업용 청사진이지만, 위협 환경은 그 어떤 문서보다 빠르게 진화합니다. AI 에이전트의 능력이 향상되고 자율성이 높아짐에 따라 보안 인프라도 그에 맞춰 확장되어야 합니다.

업계는 몇 가지 주요 원칙으로 수렴하고 있습니다: 의사 결정과 서명 권한의 분리, 하드웨어 기반 키 격리, 필수 거래 시뮬레이션, 그리고 암호화 감사 추적입니다. Google Cloud를 사용하든, 코인베이스의 인프라를 사용하든, 아니면 자체 에이전트 스택을 구축하든 이러한 원칙은 타협할 수 없는 필수 사항입니다.

에이전트의 시대가 오고 있습니다. 문제는 첫 번째 수천억 원 규모의 자율 에이전트 취약점 공격이 헤드라인을 장식하기 전과 후 중 언제 가드레일을 구축할 것인가 하는 점입니다.

블록체인과 상호작용하는 AI 에이전트를 구축하고 계신가요? BlockEden.xyz는 Sui, Aptos, Ethereum 및 20개 이상의 체인에 대해 엔터프라이즈급 RPC 및 API 인프라를 제공합니다 — 이는 트랜잭션 시뮬레이션, 온체인 쿼리 및 실시간 블록체인 상태 확인을 위해 에이전트가 필요로 하는 안정적인 데이터 레이어입니다. API 마켓플레이스를 방문하여 자율 운영을 위해 설계된 인프라에서 에이전틱 애플리케이션을 구동해 보세요.

Share on Twitter