AI 에이전트가 개인 키를 보유해서는 안 되는 이유: Coinbase의 Agentic Wallet이 자율 금융 스택을 재정의하다
지난해, 코인베이스(Coinbase)의 깃허브(GitHub) AgentKit 저장소를 겨냥한 정교한 공급망 공격이 발생했습니다. 공격자는 코드베이스에 대한 쓰기 권한을 획득했는데, 이는 개발자들이 AI 에이전트 내부에 개인 키를 직접 임베딩하기 위해 사용하던 바로 그 툴킷이었습니다. 다행히 피해가 발생하기 전에 공격을 탐지했지만, 이는 업계 전체가 외면해 왔던 불편한 진실을 드러냈습니다. 즉, 자체 암호화 키를 보유한 자율 금융 에이전트를 구축하는 것은 언제 터질지 모르는 시한폭탄과 같다는 점입니다.
2026년 2월, 코인베이스는 지갑 수탁과 에이전트 로직을 완전히 분리하는 근본적으로 다른 아키텍처인 에이전틱 지갑(Agentic Wallets)을 출시하며 배수의 진을 쳤습니다. 이러한 행보는 단순한 제품 업데이트 이상의 의미를 갖습니다. 이는 1세대 AI 에이전트 지갑 설계가 기초부터 잘못되었음을 인정하는 것이며, 업계가 4,500만 달러 규모의 보안 사고가 4억 5,000만 달러 규모로 커지기 전에 이를 바로잡기 위해 경주하고 있음을 시사합니다.
원죄: 자신의 키를 직접 보유하는 에이전트
코인베이스의 아키텍처 전환이 왜 중요한지 이해하려면, 1세대 에이전트 지갑이 실제로 어떻게 작동했는지 알아야 합니다.
코인베이스의 기존 개발자 툴킷인 AgentKit은 에이전트 코드에 개인 키 관리 기능을 직접 임베딩하여 AI 에이전트에게 "지갑"을 부여했습니다. 에이전트가 키를 보유하고, 에이전트가 트랜잭션에 서명하며, 에이전트가 제어하는 자금에 대해 중개 없는 완전한 접근 권한을 가졌습니다.
이 설계는 개발자들에게 매우 매력적이고 간단했습니다. 그저 wallet.transfer()를 호출하기만 하면 에이전트가 자금을 이동시킬 수 있었기 때문입니다. 하지만 이는 보안 연구원들이 "최후의 공격 표면(attack surface of last resort)"이라고 부르는 문제를 야기했습니다. 만약 프롬프트 인젝션(prompt injection)을 통해 에이전트의 추론 과정을 장악할 수 있다면, 지갑의 자금을 모두 빼낼 수 있게 됩니다.
프롬프트 인젝션 공격은 에이전트가 방문하는 웹페이지, 호출하는 API의 응답, 심지어 처리하는 정교하게 제작된 문서 등 겉보기에 합법적인 채널을 통해 악의적인 지침을 에이전트에게 주입하는 방식으로 작동합니다. 개인 키를 직접 보유한 에이전트는 단 한 번의 성공적인 프롬프트 인젝션만으로도 자신이 보유한 모든 자산을 공격자가 제어하는 주소로 보낼 수 있는 위험에 노출됩니다.
2026년까지 이는 더 이상 이론적인 위험이 아니었습니다. 보안 업체들은 자율 AI 에이전트를 배포한 조직의 88%가 확인되었거나 의심되는 보안 사고를 경험했다고 보고했습니다. 프로토콜 수준의 취약성으로 인해 자율 AI 트레이딩 에이전트와 관련된 손실액은 4,500만 달러를 넘어섰습니다. 거의 모든 사례에서 가장 위험한 공격 벡터는 자신의 키를 보유한 에이전트로부터 자금을 탈취하기 위한 프롬프트 인젝션이었습니다.
에이전틱 지갑으로의 전환: 키를 TEE로 추상화하기
코인베이스의 대응은 돌이켜보면 당연해 보이는 아키텍처적 결단을 내리는 것이었습니다. 에이전트는 개인 키를 절대로 만져서는 안 된다는 것입니다.
에이전틱 지갑(Agentic Wallet)은 근본적으로 다른 모델을 도입합니다. 키 관리 기능을 에이전트 코드에 임베딩하는 대신, 개인 키는 코인베이스의 자체 서버를 포함한 다른 모든 요소로부터 암호학적으로 격리된 인프라 수준의 특수 하드웨어 엔클레이브인 신뢰 실행 환경(TEE, Trusted Execution Environment) 내부에서만 존재합니다.
AI 에이전트가 트랜잭션에 서명해야 할 때, 에이전트는 키에 접근하지 않습니다. 대신 TEE에 인증 요청을 보내고, TEE는 격리된 상태에서 서명 작업을 수행한 후 서명된 트랜잭션만을 반환합니다. 개인 키는 엔클레이브를 절대 떠나지 않습니다. 에이전트의 LLM은 키를 결코 볼 수 없습니다. 공격자가 에이전트의 추론 레이어를 완전히 장악하더라도 키를 추출할 수는 없습니다.
코인베이스 보안 팀은 이 시스템을 "단순히 디스크에 개인 키를 두는 것보다 수만 배 더 안전하다"고 설명합니다. 이는 마케팅 용어가 아니라 진정한 아키텍처적 도약입니다. v2 서버 지갑(Server Wallet) 구현은 계정 개인 키가 "엔클레이브 내에서만 전용으로 암호화 및 복호화되며 TEE를 절대 떠나지 않음"을 보장합니다.
이러한 변화는 개발자 경험도 바꿉니다. 개발자는 에이전트 코드에 키 관리를 통합하는 대신, CLI 또는 모델 컨텍스트 프로토콜(MCP, Model Context Protocol)을 통해 에이전틱 지갑에 접근합니다. MCP는 AI 모델이 외부 도구에 연결할 수 있게 해주는 동일한 인터페이스 표준입니다. 에이전트는 웹 검색 도구나 데이터베이스 쿼리에 접근하는 것과 동일한 방식으로 지갑을 얻게 되며, 근본적인 복잡성은 표준화된 인터페이스가 처리합니다.
x402 프로토콜: 에이전트 간 결제 방식
결제 표준이 없는 지갑은 단지 금고일 뿐입니다. 코인베이스의 자율 금융 비전의 나머지 절반은 x402입니다. 이는 에이전트 간의 실시간 스테이블코인 ��결제를 가능하게 하기 위해 HTTP 402 "Payment Required(결제 필요)" 상태 코드를 부활시킨 개방형 프로토콜입니다.
작동 메커니즘은 단순하면서도 정교합니다. AI 에이전트가 결제가 필요한 서비스를 요청하면 서버는 HTTP 402 응답과 결제 사양을 반환합니다. 에이전트는 비용을 평가하고 에이전틱 지갑을 통해 온체인에서 USDC 소액 결제(micropayment)를 실행한 후 결제 영수증과 함께 요청을 다시 제출합니다. 이 모든 교환은 수초 내에 이루어지며, 트랜잭션 비용은 약 0.0001달러, 결제 완료까지는 2초 미만이 소요됩니다.
2025년 5월 출시 이후 x402는 5,000만 건 이상의 트랜잭션을 처리했으며, 솔라나(Solana)가 에이전틱 결제량의 약 65%를 차지하고 있습니다. 클라우드플레어(Cloudflare)는 코인베이스와 협력하여 x402 재단을 설립했으며, 2026년 3분기를 목표로 하위 호환성 보장이 적용되는 v1.0 사양 확정을 추진 중입니다.
이것이 갖는 실질적인 의미는 상당합니다. 사상 처음으로 AI 에이전트가 서비스 비용을 지불할 수 있는 표준화된 방법을 갖게 된 것입니다. 이는 사람이 관리하는 신용카드나 OAuth 토큰을 넘겨주는 방식이 아니라, 키를 에이전트의 손이 닿지 않는 곳에 보관하는 지갑 아키텍처를 통해 자율적인 스테이블코인 결제를 실행함으로써 가능해집니다. 이것이 바로 실제 환경에서 "에이전트 간 상거래(agent-to-agent commerce)"가 작동하기 위해 필요한 핵심 요소입니다.
에이전트 보안 월렛을 위한 4가지 경쟁 비전
코인베이스 (Coinbase)만이 이 문제를 고민하고 있는 것은 아닙니다. 지난 6개월 동안 에이전트 월렛 보안에 대해 각기 다른 트레이드오프를 반영하는 최소 4가지의 독특한 아키텍처적 접근 방식이 등장했습니다.
Coinbase Agentic Wallet (TEE 백엔드): 키는 하드웨어 인클레이브 (Hardware Enclaves)에 보관되며 에이전트 로직과 완전히 격리됩니다. 에이전트는 암호화 자료에 직접 접근하지 않고 프로토콜 레이어를 통해 트랜잭션을 승인합니다. 용도: 키 격리가 타협 불가능한 고가치 자율 운영에 가장 적합합니다.
MoonPay + Ledger (인간 검증 실행): AI 에이전트가 리서치, 포트폴리오 분석 및 거래 구성을 담당하지만, 모든 온체인 트랜잭션은 Ledger 하드웨어 장치에서 물리적 확인을 거쳐야 합니다. MoonPay는 PayPal, Circle, 이더리움 재단 (Ethereum Foundation), 솔라나 재단 (Solana Foundation)이 지원하는 오픈 소스 프레임워크인 오픈 월렛 표준 (Open Wallet Standard, OWS)을 출시하여 에이전트가 여러 체인에 걸쳐 자금을 보유할 수 있는 일관된 인터페이스를 제공합니다. 용도: 인간의 승인이 필수적인 하이브리드 인간-AI 워크플로우에 가장 적합합니다.
MetaMask + EIP-7702 (범위 지정 세션 키): EIP-7702를 사용하면 표준 외부 소유 계정 (EOA)이 일시적으로 스마트 컨트랙트 월렛으로 작동하여 시간 제한, 지출 한도, 승인된 주소와 같은 정의된 경계 내에서 사전 승인된 에이전트 작업을 수행할 수 있습니다. 이는 "발렛 키 (Valet Key)" 모델과 같습니다. 에이전트가 운전은 할 수 있지만, 시속 25마일 이하로만 주행 가능��하고 트렁크를 열 수 없는 것과 비슷합니다. 용도: 사용자가 완전한 수탁 권한 이전 없이 부분적인 자율성을 원하는 소비자 대상 에이전트에 가장 적합합니다.
Human.tech Agentic WaaP (프로토콜 수준의 인간 감독): 기존 월렛 인프라에 감독 기능을 덧붙이는 대신, Human.tech의 "서비스로서의 프로토콜 월렛 (Wallet as a Protocol, WaaP)" 접근 방식은 암호학적 인간 승인 임계값을 아키텍처에 직접 구축합니다. 정책 엔진은 애플리케이션 수준이 아닌 프로토콜 수준에서 고위험 작업에 대한 인간 참여 (Human-in-the-loop) 체크포인트를 강제합니다. 용도: 규제 준수를 위해 감사 가능한 인간의 감독이 필요한 기업 환경에 가장 적합합니다.
각 접근 방식은 리스크가 실제로 어디에 존재하는지에 대한 진정한 통찰을 반영합니다. 코인베이스는 최대의 키 보안을 갖춘 자율 운영에 최적화되어 있습니다. MoonPay의 OWS는 상호운용성과 인간의 신뢰에 최적화되어 있습니다. MetaMask의 세션 키는 완전한 수탁 이전 없는 익숙한 UX에 최적화되어 있습니다. Human.tech는 규제 준수와 기업 수준의 감사 가능성에 최적화되어 있습니다.
이 아키텍처가 4,500만 달러 규모의 공격 표면에 중요한 이유
2026년에 발생한 4,500만 달러 규모의 AI 에이전트 보안 사고는 정교한 암호학적 공격으로 인해 발생한 것이 아닙니다. 이는 자신의 자금에 직접 접근할 수 있었던 에이전트에게 공격자가 악성 지침을 주입하는 프롬프트 인젝션 (Prompt Injection)으로 인해 발생했습니다.
에이전틱 월렛 아키텍처는 에이전트의 추론과 키 접근 사이의 직접적인 연결을 끊습니다. 공격자가 에이전트를 조종하여 월렛의 자금을 탈취하려고 시도하더라도, TEE 지원 아키텍처를 사용하면 에이전트가 단독으로 이를 수행할 수 없습니다. 에이전트는 설정된 권한 부여 정책 내의 금액과 주소에 대해서만 서명된 트랜잭션을 발행할 수 있습니다.
이 디자인 패턴은 상당한 가치를 관리하는 모든 자율 금융 에이전트의 최소 실행 가능한 보안 표준이 될 가능성이 높습니다. 문제는 에이전트 로직과 키 관리를 분리할지 여부가 아닙니다. 4,500만 달러의 손실이 그 답을 이미 말해주고 있습니다. 문제는 생태계가 성숙해짐에 따라 어떤 분리 아키텍처가 승리할 것인가 하는 점입니다.
개발자 인프라에 미치는 영향
AgentKit의 임베디드 키 모델에서 에이전틱 월렛의 프로토콜 기반 액세스로의 전환은 AI 에이전트가 블록체인 인프라와 상호작용하는 방식의 광범위한 성숙을 의미합니다. 에이전트는 월렛이 부착된 단순한 장난감 스크립트에서 정교하고 표준화된 인터페이스를 갖춘 일류 인프라 소비자로 진화하고 있습니다.
이로 인해 전체 스택에 걸쳐 새로운 요구 사항이 생겨납니��다. 에이전트는 권한 부여 결정을 내리고, 월렛을 모니터링하며, 복잡한 다단계 작업을 실행하기 위해 체인 상태 데이터에 대한 신뢰할 수 있고 지연 시간이 짧은 액세스가 필요합니다. 또한 인간의 요청 속도뿐만 아니라, BNB Chain에만 배포된 123,000개 이상의 AI 에이전트와 같은 자율적이고 프로그램적인 상호작용의 훨씬 높은 처리량을 처리할 수 있는 API가 필요합니다.
표준화된 에이전트 월렛 인터페이스 (MCP, x402, OWS)의 등장은 2000년대에 REST API가 웹 개발을 표준화한 방식과 유사합니다. 표준 인터페이스가 마련되면 그 아래의 인프라 레이어는 위의 애플리케이션 레이어와 독립적으로 최적화될 수 있습니다.
BlockEden.xyz는 200개 이상의 블록체인 네트워크에 걸쳐 엔터프라이즈급 API 인프라를 제공합니다. 이는 자율 에이전트가 실시간 체인 상태, 트랜잭션 모니터링 및 멀티체인 운영에 필요로 하는 데이터 레이어입니다. 기계 속도의 액세스를 위해 설계된 기반 위에 에이전트 인프라를 구축하려면 당사의 API 마켓플레이스를 살펴보세요.
다음 단계
현재 업계가 고심하고 있는 근본적인 질문은 코인베이스의 에이전틱 월렛과 같은 TEE 지원 아키텍처가 기본 표준이 될 것인지, 아니면 세션 키나 인간 승인 임계값과 같은 더 가벼운 접근 방식이 다양한 사용 사례에서 우위를 점할 것인지입니다.
답은 아마도 "위의 모든 것"이 될 것입니다. 기관용 DeFi, ��크로스체인 결제, 기업 자산 관리와 같은 고가치 자율 운영은 가장 강력한 키 격리 보장을 제공하는 TEE 아키텍처로 수렴될 것입니다. 소비자 대상 에이전트는 익숙한 사용자 제어 패턴을 유지하는 세션 키 모델을 선호할 것입니다. 규제에 민감한 기업 배포는 감사 가능한 인간 감독 기능이 내장된 WaaP 스타일의 아키텍처를 채택할 것입니다.
이미 분명한 것은 에이전트에게 단순히 개인 키를 제공하던 초기 방식은 끝났다는 점입니다. 2026년의 4,500만 달러 규모의 사고, AgentKit을 겨냥한 GitHub 공급망 공격, 그리고 코인베이스 자체의 아키텍처적 피봇은 집합적으로 결론을 내렸습니다. 자율 금융 에이전트와 보호되지 않은 개인 키는 실패를 기다리는 아키텍처일 뿐입니다.
에이전트들이 오고 있습니다. 문제는 그들이 사용하는 월렛이 준비되었는가 하는 것입니다.
출처: 코인베이스 에이전틱 월렛 출시 · 코인베이스 CDP 보안 문서 · x402 프로토콜 · Cloudflare x402 재단 · MoonPay 오픈 월렛 표준 · Human.tech 에이전틱 WaaP · KuCoin AI 에이전트 보안 침해 보고서