본문으로 건너뛰기

ERC-8220과 불변의 인장 (Immutable Seal): 온체인 AI 거버넌스를 위한 이더리움의 누락된 레이어

· 약 11 분
Dora Noda
Dora Noda
Software Engineer

보안 전문가의 92 % 가 조직 내부의 AI 에이전트에 대해 우려하고 있습니다. 동일한 조직 중 37 % 만이 공식적인 AI 정책을 보유하고 있습니다. 이 55 포인트의 격차는 모든 2026 년 이사회 보고서의 첫 줄을 장식하고 있으며, 이것이 바로 ERC-8220 이 온체인에서 해결하려는 문제입니다.

2026 년 4 월 7 일, Ethereum Magicians 포럼에 ERC-8220: 불변의 인장 패턴을 활용한 온체인 AI 거버넌스 표준 인터페이스 (Standard Interface for On-Chain AI Governance With Immutable Seal Pattern) 제안서 초안이 게시되었습니다. 이는 소수의 핵심 개발자 그룹이 에이전틱 이더리움 스택 (agentic Ethereum stack) 이라 부르기 시작한 것의 네 번째 벽돌입니다: 신원 (ERC-8004), 커머스 (ERC-8183), 실행 (ERC-8211), 그리고 이제 거버넌스입니다. 만약 Glamsterdam 포크 이전에 Final 단계에 도달한다면, ERC-20 이 대체 가능한 토큰에 대해 했던 것처럼 자율 에이전트를 위해 혼란스러운 설계 공간을 결합 가능한 프리미티브 (primitive) 로 바꿔놓을 수 있습니다.

이 제안의 핵심 아이디어는 "불변의 인장 (immutable seal)" 입니다. ERC-8220 의 다른 모든 요소는 여기에서 파생됩니다. 인장을 제대로 구현하면 다른 세 가지 표준이 설 자리가 생깁니다. 하지만 이를 잘못 구현하면 전체 에이전틱 스택이 조용한 실패 모드 (silent failure mode) 를 상속받게 됩니다.

왜 "무신뢰 에이전트" 에게 거버넌스 레이어가 필요한가

ERC-8004 는 2026 년 1 월 29 일 이더리움 메인넷에 출시되어 AI 에이전트에게 온체인 신원, 평판 및 검증 레지스트리를 부여했습니다. 이어 ERC-8183 이 프로그래밍 가능한 에스크로를 도입하여, 작업 완료 시 해제되는 스마트 컨트랙트 잠금 자금을 통해 에이전트가 고용되고 일하며 보상을 받을 수 있게 했습니다. 직후 Biconomy 와 이더리움 재단은 ERC-8211 을 공동 발표했습니다. 이는 서명 시점에 모든 매개변수를 미리 인코딩하지 않고도 에이전트가 다단계 DeFi 전략 ("스마트 배칭") 을 수행할 수 있도록 하는 실행 표준입니다.

이 세 가지 표준은 함께 세 가지 구체적인 문제를 해결합니다: 이 에이전트는 누구인가?, 보상은 어떻게 받는가?, 거래는 어떻게 하는가? 그러나 네 번째 질문은 구조적으로 답하지 않은 채로 둡니다: 에이전트가 정확히 무엇을 할 수 있도록 허용되었는가? 그리고 오늘 실행 중인 에이전트가 어제 내가 감사한 에이전트와 동일하다는 것을 어떻게 알 수 있는가?

자기 주권형 탈중앙화 에이전트에 관한 2025 년 논문은 이를 무신뢰 대 신뢰 가능의 역설 (trustless-versus-trustworthy paradox) 이라 부릅니다. 자율 에이전트가 불변의 기판 (substrate) 에 봉인되어 키 추출이 불가능하고 온체인 신원이 영구적으로 고정되면, 인간 배포자는 변조 방지 기능은 얻지만 감독, 책임 및 구제책을 위한 쉬운 조절 장치는 잃게 됩니다. ERC-8004 는 레지스트리 항목을 제공할 뿐, 지난 화요일 새벽 3 시에 해당 항목 뒤의 가중치와 정책이 변경되었는지 여부는 알려주지 않습니다.

이것은 이론적인 공백이 아닙니다. Cloud Security Alliance 의 2026 년 4 월 연구에 따르면 에이전트를 운영하는 조직의 절반 이상이 이미 "범위 위반 (scope violations)" — 즉, 에이전트가 의도된 권한 범위를 벗어난 행동을 하는 것을 경험했습니다. 유효한 ERC-8004 신원과 자금이 충전된 ERC-8183 에스크로를 가진 손상된 에이전트는 출력을 읽기 전까지는 온체인상에서 정직한 쌍둥이 에이전트와 구별할 수 없습니다. 그리고 그 시점에는 이미 에스크로 자금이 해제된 후일 것입니다.

불변의 인장 (The Immutable Seal) 설명

ERC-8220 은 에이전트의 등록된 신원을 세 가지 불변의 클레임에 결합하는 단일 온체인 약정 구조인 '인장' 을 제안합니다:

  1. 모델 가중치 해시 (Model weights hash). 에이전트의 추론을 생성하는 정확한 매개변수 세트에 대한 암호화된 약정입니다.
  2. 훈련 데이터 지문 (Training data fingerprint). 데이터 자체는 아니지만 데이터 세트 매니페스트에 대한 해시입니다. 선택적으로 머클화 (Merkle-ized) 하여 규제 기관을 위해 부분적인 공개가 가능하게 할 수 있습니다.
  3. 추론 제약 조건 (Inference constraints). 도구 호출 허용 목록 (allowlists), 지출 한도, 관할권별 제외 사항 등 기계가 읽을 수 있는 정책 문서로, 해시 처리되어 가중치와 함께 약정됩니다.

중요한 점은 인장이 취소 불가능 (irrevocable) 하다는 것입니다. 에이전트가 인장을 등록하고 운영을 시작하면, 새로운 에이전트 신원을 생성하지 않고는 이 세 가지 해시를 변경할 수 없습니다. 기존 신원의 평판, 에스크로 이력 및 실행 권한은 이전되지 않습니다. 체인의 관점에서 버전 2 는 낯선 존재입니다.

이는 오늘날 에이전트 플랫폼이 작동하는 방식과 대조해보기 전까지는 다소 딱딱하게 들릴 수 있습니다. 대부분의 호스팅형 에이전트 프레임워크에서는 운영자가 하위 거래 상대방이 신뢰하는 신원을 깨뜨리지 않고도 모델을 핫스왑하거나, 도구 허용 목록을 조용히 확장하거나, 프롬프트 템플릿 패치를 적용할 수 있습니다. 인장은 의도적으로 그 패턴을 깨뜨립니다. 변경을 원하는 에이전트는 자유롭게 변경할 수 있지만, 이전에 신뢰했던 에이전트인 척할 수는 없습니다.

"에이전트가 주장하는 바와 일치함을 증명하기" 위한 세 가지 경쟁 프리미티브

인장은 약정 구조입니다. 그 자체로 증명은 아닙니다. 추론 시점에 에이전트가 실제로 인장된 제약 조건 하에서 인장된 모델을 실행 한다는 것을 보여줄 메커니즘이 여전히 필요합니다. 여기서 ERC-8220 은 서로 다른 장단점을 가진 세 가지 경쟁 증명 (attestation) 프리미티브의 경계에 직면하게 됩니다:

1. TEE 기반 증명 (AWS Nitro, Intel TDX, AMD SEV-SNP)

2 세대 신뢰 실행 환경 (TEE) 은 실제 ML 워크로드를 호스팅하기에 충분한 메모리 여유 공간을 가진 전체 VM 을 지원합니다. 부팅 시 엔클레이브 (enclave) 는 펌웨어 및 로드된 이미지에 대한 측정 체인인 서명된 증명을 생성하며, 이는 추출 불가능한 하드웨어 키로 서명됩니다. 검증자는 이 측정값을 인장된 약정과 비교합니다. 일치한다면, 엔클레이브가 실행 중인 모델이 인장에서 주장한 모델임이 보장됩니다.

일반적인 운영 패턴은 증명을 키 브로커 서비스 (Key Broker Service) 와 결합하는 것입니다: 엔클레이브가 KMS 에 증명을 제시하면, KMS 는 측정값이 정책과 일치하는 경우에만 인장된 가중치에 대한 복호화 키를 해제합니다. 이를 통해 하드웨어 속도 수준의 강력한 보장을 받을 수 있으며, 추론은 네이티브 성능으로 실행됩니다. 단점은 아마존, 인텔 또는 AMD 의 루트 키와 마이크로코드를 신뢰해야 한다는 점입니다. 부채널 (Side-channel) 공격의 역사는 그리 고무적이지 않습니다.

2. ZKML (영지식 머신러닝)

Lagrange의 DeepProve와 같은 ZKML 시스템은 추론을 위한 SNARK를 생성하여, 출력 Y가 커밋된 모델 하에서 입력 X로부터 도출되었다는 간결한 증명을 생성합니다. 검증 비용은 저렴하고 신뢰를 최소화합니다. 하드웨어 벤더가 개입할 필요가 없기 때문입니다. 비용은 증명자 측에서 발생하며, ZKML은 여전히 네이티브 추론보다 수십 배 더 느립니다. 실시간 에이전트 쿼리를 처리하는 720억 개의 파라미터 모델의 경우, 2026년의 ZKML은 아직 지향점일 뿐입니다.

3. 암호화 해시 커밋먼트 (슬래싱이 포함된 자율 규제 시스템)

가장 가벼운 옵션입니다. 온체인에 가중치 해시를 커밋하고, 오프체인 (IPFS, Arweave, S3) 에 가중치를 게시하며, 누구나 재해싱을 통해 스폿 체크를 할 수 있도록 합니다. 이를 경제적 보안 레이어와 결합합니다. 일치하지 않는 가중치 파일에 증명 서명을 할 경우 슬래싱될 수 있는 스테이킹된 검증자들을 활용하는 방식입니다. 저렴하고 빠르며, 사후 감사가 가능합니다. 다만 챌린지 기간 내에 아무도 눈치채지 못하는 추론 시점의 대체 (substitution) 공격에 취약합니다.

ERC-8220의 가장 영리한 점은 특정 방식을 선택하지 않는다는 것입니다. 씰 (Seal) 은 어테스테이션 방식에 구애받지 않습니다. 에이전트가 '무엇'인지에 대해 커밋하면서도, '어떻게 검증할 것인가'는 씰 자체의 필드로 선언할 수 있도록 허용합니다. 에이전트는 오늘 TEE 어테스테이션 하에서 씰링을 하고, 성능이 허락될 때 기본 가중치 해시가 변경되지 않는 한 새로운 ID를 생성하지 않고도 ZKML로 마이그레이션할 수 있습니다.

스택의 나머지 요소들과의 구성

4개 레이어로 구성된 에이전트 스택은 각 표준이 다른 표준의 존재를 전제할 때만 작동합니다. ERC-8220은 나머지 세 가지가 안전하게 사용될 수 있도록 해줍니다.

  • ERC-8004 신원은 씰과 결합될 때만 의미를 갖습니다. 씰이 없다면 "agent 0x742…"는 참조 대상이 없는 이름일 뿐입니다. 씰이 있으면 그 이름은 특정되고 감사 가능한 결과물을 참조하게 됩니다.
  • ERC-8183 에스크로는 완료를 확인하는 "중립적 평가자"를 기반으로 자금을 해제합니다. 씰링된 에이전트는 평가자에게 평가의 근거가 되는 구체적인 대상을 제공합니다. 즉, 출력이 씰에 해싱된 정책 문서와 일치하는지를 평가할 수 있습니다.
  • ERC-8211 스마트 배칭은 에이전트가 다단계 DeFi 전략을 실행할 수 있게 합니다. 씰의 추론 제약 조건은 외부 경계를 정의합니다. 이 에이전트는 가스 한도 X, Y, Z 내에서 체인 A, B, C에 대해 최대 N개의 작업을 배칭할 수 있다는 식입니다.

이것은 거버넌스가 왜 처음에 오지 않고 마지막에 등장했는지에 대한 논거이기도 합니다. 신원도, 경제적 이해관계도, 실행 엔벨로프 (envelope) 도 없는 에이전트를 의미 있게 거버넌스 할 수는 없습니다. 처음 세 개의 표준이 ERC-8220이 규제하고자 하는 영역을 만들어낸 것입니다.

규제라는 순풍

싱가포르 IMDA는 2026년 1월 자율 AI 에이전트를 위해 특별히 제작된 세계 최초의 정부 거버넌스 프레임워크를 발표했습니다. 이는 위험 제한, 인간의 책임, 기술적 통제, 최종 사용자 책임의 네 가지 차원을 중심으로 구성되었습니다. 연말 이전에 발표될 것으로 예상되는 EU AI 법 (AI Act) 의 에이전트 부록도 동일한 형태를 따를 것으로 보입니다. 두 프레임워크 모두 배포자에게 에이전트가 무엇을 하도록 허용되었고 실제로 무엇을 했는지를 규제 기관, 상대방 또는 법원에 정확히 입증하도록 요구합니다.

씰은 바로 이러한 요구에 맞춤 제작되었습니다. 커밋된 정책 문서는 "제한된 위험"의 결과물입니다. 신원과 가중치 사이의 불변적인 결합은 "인간의 책임"의 결과물입니다. 어테스테이션 방법은 "기술적 통제"의 결과물입니다. 씰링된 에이전트를 보유한 배포자는 모델 호스트의 로그에 대한 포렌식 조사 없이도 방어 논리를 가질 수 있습니다.

이것이 ERC-8220이 크립토 네이티브 세상을 넘어 중요한 진짜 이유입니다. 이것이 출시되면 Web3뿐만 아니라 '모든' AI 배포자에게 자신의 에이전트가 무엇이고 무엇이 아닌지에 대한 암호학적 증거를 게시할 수 있는 방법을 제공합니다. 이것은 단순한 블록체인 프리미티브가 아니라 규제적 프리미티브입니다.

Glamsterdam 이전에 출시될까요?

솔직한 답변은, 최종 (Final) 형태로는 아마 아닐 것이지만, 클라이언트 팀들이 구현을 시작할 수 있는 후기 드래프트 형태로는 가능할 것 같습니다. 이더리움의 표준화 프로세스는 여러 클라이언트가 참여하는 것으로 유명합니다. ePBS를 지연시켰던 동일한 조율 문제가 여기에도 적용됩니다. ERC-8220은 하드 포크를 필요로 하지 않으며 (프로토콜 변경이 아닌 컨트랙트 레벨의 인터페이스임), 따라서 Glamsterdam 자체의 슬롯 공간을 다투지 않습니다. 대신 개발자의 관심을 끌기 위해 경쟁하며, 에이전트 인프라는 2026년 가장 강력한 서사입니다.

빠른 비준을 원하는 이해관계자들은 평소 어울리지 않는 조합입니다. 자신이 무엇을 제공하는지 표준화된 방식으로 홍보하려는 모델 제공자, 이사회와 규제 기관에 심층 방어 체계를 설명하려는 기업 배포자, 그리고 점점 더 늘어나는 에이전트 주도 트래픽에 직면하여 휴리스틱이 아닌 씰을 통해 리스크 가격을 책정하려는 DeFi 프로토콜들이 그들입니다.

반대하는 측은 소수이지만 실체가 있습니다. 비즈니스 모델이 모델을 몰래 업데이트하는 기능에 의존하는 팀들과, 자신들의 어테스테이션만이 유효한 씰로 가는 유일한 경로가 되기를 원하는 TEE 벤더들입니다.

지금부터 Glamsterdam까지 지켜봐야 할 것들

  • 레퍼런스 구현. ERC-8220의 첫 번째 진지한 구현은 시장이 어떤 어테스테이션 프리미티브를 기본값으로 취급하는지 알려줄 것입니다. 제 생각에는 초기에는 TEE 기반, 2027년까지는 선택적 ZKML이 될 것입니다.
  • 씰 취소 시맨틱. 현재 드래프트는 운영자가 자발적으로 씰을 무효화하는 경우 (모델 리콜, 버그 발견 등) 에 대해 침묵하고 있습니다. 취소 경로는 표준에서 가장 어려운 부분이며 여전히 파편화될 수 있는 지점입니다.
  • ERC-8004 평판과의 상호운용성. 사소한 정책 업데이트 시 씰링된 에이전트의 평판이 새로운 씰로 깔끔하게 이전된다면, 변경 시 ID가 변경된다는 특성은 약화됩니다. 이전이 전혀 되지 않는다면 운영자들은 씰링을 거부할 것입니다.
  • 오프체인 감사자 생태계. 씰은 그에 대해 증명하는 중립적인 감사자만큼만 유용합니다. 2026년에는 감사자의 책임을 명확히 하는 획기적인 분쟁이 발생할 것으로 예상됩니다.

결국 주목해야 할 패턴은 거버넌스가 준수 비용이 아닌 '제품'이 되느냐 하는 점입니다. ERC-20은 토큰에 대해 그 역할을 했습니다. 발행자들은 더 이상 대체 가능성 프리미티브에 대해 논쟁하지 않고 표준 '위'에 구축된 것들로 경쟁하기 시작했습니다. ERC-8220이 성공한다면, "우리 에이전트는 정책 X 하에 씰링되었고, 방법 Y를 통해 증명되었으며, 씰 보유자라면 누구나 감사 가능하다"는 말은 2027년까지 마케팅의 기본이 될 것입니다. 그리고 흥미로운 경쟁은 정책 설계, 감사자 선택, 씰 구성 패턴으로 상위 스택으로 옮겨갈 것입니다.

그것이 가장 깔끔한 결과일 것입니다. 아무도 이야기하지 않을 정도로 지루한 기술 표준이 되고, 조용히 존재함으로써 에이전트 생태계가 훨씬 더 책임감 있게 변하는 것 말입니다.

BlockEden.xyz는 이더리움, Sui, Aptos 등 에이전트 기반 애플리케이션이 구축되는 체인 전반에 걸쳐 엔터프라이즈급 RPC 및 인덱싱 인프라를 제공합니다. 에이전트 쿼리량이 인간의 쿼리량보다 10배 빠르게 성장함에 따라, 하부 인프라는 조용히 변경되지 않으면서도 확장되어야 합니다. 지속 가능하도록 설계된 기반 위에서 개발하려면 당사의 서비스를 살펴보십시오.

출처

Share on Twitter