AI가 발견한 Zcash 4년 숨겨진 치명적 버그: ZEC 40% 폭락이 보내는 크립토 보안 혁명 신호
단 두 줄의 코드, 4년간 숨겨진 위조의 문
2026년 6월 초, 프라이버시 코인의 대표주자 Zcash(ZEC)가 48시간 만에 거의 절반 가까이 폭락하는 충격적인 사건이 발생했습니다. 6월 4일 624달러에서 정점을 찍었던 ZEC는 6월 5일 한때 309달러까지 무너지며 약 50%의 일중 낙폭을 기록했습니다. 이 폭락의 방아쇠는 시장 조작이나 거시 악재가 아니었습니다. 바로 인공지능이 발견한, 4년 넘게 누구도 알아채지 못했던 치명적인 위조 취약점이었습니다.
더욱 상징적인 것은 이 버그를 찾아낸 주체입니다. 독립 보안 연구원 Taylor Hornby는 Anthropic의 최신 모델 Claude Opus 4.8을 기반으로 직접 구축한 AI 감사 프레임워크를 활용해, 세계 최고 수준의 암호학자들이 4년간 검증하고도 놓쳤던 결함을 단 하루 만에 찾아내고 작동하는 익스플로잇까지 작성했습니다. Unchained, CoinDesk, Decrypt 등 주요 매체가 일제히 보도한 이 사건은 단순한 한 코인의 사고를 넘어, 크립토 보안의 패러다임이 전환되는 분기점으로 평가받고 있습니다.
Orchard 풀의 심장부에 숨어 있던 결함
이번 취약점이 발생한 곳은 Zcash의 핵심인 **Orchard 차폐 풀(shielded pool)**이었습니다. Orchard는 영지식 증명(zero-knowledge proof)을 통해 거래 당사자와 금액을 완전히 숨기는 Zcash의 프라이버시 엔진으로, 2022년 5월 활성화된 이래 Zcash 프라이버시 모델의 근간이었습니다.
Blockonomi와 Blockhead의 보도에 따르면, 결함은 Orchard 회로(circuit)의 가변 베이스 스칼라 곱셈 게이트(variable-base scalar multiplication gadget) 안에 있었습니다. 핵심은 단 두 줄의 코드였습니다. 이 두 줄이 타원곡선 곱셈 검증을 충분히 제약하지 못하는, 이른바 '언더컨스트레인드(under-constrained)' 상태였습니다. 그 결과 수학적으로 무효여야 할 입력값이 검증을 통과할 수 있었고, 공격자는 동일한 차폐 노트를 여러 번 소비하면서 매번 다른 널리파이어(nullifier)를 노출시키는 방식으로 무에서 ZEC를 만들어낼 수 있었습니다.
이것이 무서운 이유는 두 가지입니다. 첫째, 이는 단순한 이중 지불이 아니라 공급량 자체를 부풀리는 인플레이션 공격이었습니다. 둘째, Orchard의 프라이버시 특성상 위조된 ZEC는 투명한 원장에 아무런 흔적도 남기지 않습니다. 즉, 공격이 실제로 일어났는지조차 암호학적으로 증명할 수 없는 구조였습니다. Zcash 창립자 Zooko Wilcox는 X에 올린 글에서 "이 취약점은 Orchard 내부에서 무제한의 위조 ZEC를 탐지 불가능하게 생성하는 데 악용될 수 있었습니다"라며 "Orchard의 프라이버시 속성 때문에, 패치 이전에 취약점이 악용되었는지 여부를 암호학적으로 증명할 방법이 없습니다"라고 밝혔습니다.
AI가 인간 암호학자를 넘어선 순간
이번 사건에서 가장 주목해야 할 대목은 발견 과정 그 자체입니다. Hornby는 Shielded Labs가 4월부터 진행한 프로토콜 상시 검토 작업에 합류한 보안 엔지니어로, 5월 29일 자신의 AI 감사 에이전트 프레임워크와 Claude Opus 4.8을 결합해 Orchard 회로를 정밀 분석했습니다. Genfinity와 Let's Data Science의 보도에 따르면, 그는 같은 날 결함의 위치를 특정하고 작동하는 익스플로잇 프로그램을 작성했으며, 로컬 테스트넷에서 무제한 위조 ZEC가 실제로 생성되는 것을 확인했습니다.
특히 흥미로운 점은 모델 세대 간 성능 차이입니다. 보도에 따르면 이전 세대인 Claude Opus 4.7은 높은 추론 강도(high effort)에서도 일반적인 프롬프트로는 이 버그를 표면화하지 못했습니다. 반면 Opus 4.8은 해당 게이트를 정밀하게 겨냥한 프롬프트가 주어졌을 때 안정적으로 결함을 찾아냈습니다. 이는 프론티어 AI 모델이 형식 검증(formal verification)과 영지식 회로 감사라는, 그동안 극소수 전문가의 영역으로 여겨졌던 작업에서 실질적인 임계점을 넘어섰음을 시사합니다.
4년이라는 시간은 결코 짧지 않습니다. Orchard는 활성화 이후 "4년 1일 10시간" 동안 노출되어 있었고, 그동안 업계 최고 수준의 인적 검토를 거쳤습니다. 그럼에도 인간의 눈은 두 줄의 코드를 놓쳤고, AI는 찾아냈습니다. Yahoo Finance에 인용된 전문가들이 "프라이버시는 양날의 검"이라고 지적한 이유가 여기에 있습니다. 강력한 프라이버시는 사용자를 보호하지만, 동시에 결함이 악용되었는지조차 확인할 수 없게 만들기 때문입니다.
5일 만의 긴급 하드포크
Zcash 진영의 대응은 신속했습니다. Zcash 오픈 개발 랩과 Zcash 재단은 5월 29일 비공개 제보부터 6월 3일 최종 해결까지 단 5일 만에 2단계 긴급 네트워크 업그레이드를 완료했습니다. 이는 2016년 네트워크 출범 이래 보안을 이유로 단행된 두 번째 프로토콜 업그레이드였습니다.
Cryptobriefing의 보도에 따르면, 1단계로 6월 2일 약 02:00 UTC, 블록 높이 3,363,426에서 소프트포크가 작동해 Orchard가 포함된 모든 거래를 일시 중단했습니다. 회로 수정이 마무리되는 동안 공격 가능성을 원천 차단하기 위한 조치였습니다. 이어 6월 3일 00:05 EDT, 블록 높이 3,364,600에서 NU6.2 하드포크가 활성화되며 수정된 회로와 'FixedPostNu6_2'라는 새 검증키(verifying key), 그리고 추가 합의 안전장치가 도입되었습니다. 이로써 취약점은 영구적으로 봉쇄되었고 차폐 거래가 복원되었습니다. Shielded Labs와 Zcash 재단은 메인넷에서 이 취약점이 악용된 증거는 없으며, 무단으로 생성된 가치도 없다고 강조했습니다.
시장의 잔혹한 심판: 40~50% 폭락과 1억 달러 청산
그러나 시장은 기술적 해결과 별개로 냉정하게 반응했습니다. The Block에 따르면 ZEC 매도세는 50%를 넘어 확대되었고, 관련 청산 규모는 1억 달러를 돌파했습니다. 일부 집계는 청산액을 약 8,200만 달러로 추산했지만, 어느 쪽이든 프라이버시 코인 섹터에서는 보기 드문 대규모 청산이었습니다. ZEC는 6월 4일 624달러 고점에서 6월 5일 324.10달러 저점까지 추락한 뒤 340달러 부근에서 일부 회복했습니다.
매도 압력을 키운 것은 버그 자체만이 아니었습니다. BitMEX 창립자 Arthur Hayes가 6월 4일 무렵 자신의 ZEC 보유분 전량을 공개적으로 청산한 사실이 알려지며 투매가 가속화되었습니다. crypto.news가 지적했듯, 핵심 문제는 "공급량 신뢰"였습니다. 위조가 실제로 일어났는지 증명할 수 없다는 사실 자체가, 발행량을 신뢰의 근간으로 삼는 통화 자산에 치명적인 불확실성을 주입한 것입니다.
흥미롭게도 충격은 섹터 전체로 번졌지만 그 강도는 차별적이었습니다. Cryptotimes와 CoinMarketCap에 따르면 Monero(XMR)는 같은 기간 약 13% 하락하는 데 그쳤고, Dash(DASH)도 동반 약세를 보였습니다. ZEC의 50% 낙폭과 비교하면 XMR의 하락은 제한적이었는데, 이는 시장이 이번 결함을 '섹터 전체의 실패'가 아니라 'Zcash 특유의 문제'로 인식했음을 보여줍니다. Monero는 링 서명과 스텔스 주소 기반의 상대적으로 단순한 암호 모델을 사용하는 반면, Zcash는 더 복잡한 영지식 증명 시스템에 의존한다는 점이 핵심 차별 요인으로 부각되었습니다.
전망: 위기인가, 보안 혁명의 서막인가
앞으로의 시나리오는 두 갈래로 나뉩니다. 비관론은 명확합니다. 4년간 발견되지 않은 위조 버그는 "증명 가능한 희소성"을 핵심 가치로 내세웠던 프라이버시 코인의 서사에 근본적인 균열을 냈습니다. 차트상으로는 BanklessTimes 등이 200달러 지지선 재시험 가능성을 거론하고 있으며, 공급 신뢰가 완전히 회복되기까지는 시간이 필요할 전망입니다.
반면 낙관론은 더 큰 그림을 봅니다. 첫째, 결함은 익명의 공격자가 아니라 화이트햇 연구원이 먼저 발견했고, 5일 만에 패치되었으며, 메인넷 악용 증거는 없습니다. 이는 Zcash의 대응 체계가 작동했음을 입증합니다. 둘째, 더 중요한 함의는 산업 전반에 있습니다. 프론티어 AI가 인간 전문가 군단이 4년간 놓친 영지식 회로의 결함을 찾아냈다는 사실은, 앞으로 모든 주요 프로토콜이 AI 기반 상시 감사를 표준으로 채택해야 함을 강력히 시사합니다.
투자자가 주목해야 할 변수는 명확합니다. NU6.2 이후 차폐 거래량의 회복 속도, 거래소들의 입출금 재개 시점, 그리고 200~340달러 구간에서의 거래량 동반 여부입니다. 또한 다른 영지식 기반 프로토콜들이 유사한 AI 감사를 도입하며 추가 결함을 선제적으로 공개할 가능성도 섹터 전반의 변동성 요인으로 남아 있습니다.
결론: 두 줄의 코드가 남긴 교훈
이번 Zcash 사태의 핵심 교훈은 역설적입니다. 단 두 줄의 코드가 40~50%의 폭락과 1억 달러의 청산을 불렀지만, 동시에 그 결함을 찾아낸 것은 인간이 아닌 AI였습니다. 투자자에게 단기적으로 ZEC는 공급 신뢰가 재정립되기까지 높은 변동성을 감수해야 하는 자산입니다. 그러나 더 넓은 시야에서 보면, 이 사건은 크립토 보안의 새로운 시대—AI가 가장 정교한 암호 시스템조차 상시 감시하는 시대—의 개막을 알리는 신호탄입니다. 결함은 코드에 있었지만, 진짜 이야기는 그것을 발견한 도구에 있었습니다.
출처: Unchained, CoinDesk, Decrypt, The Block, Blockonomi, Cryptobriefing, Genfinity, crypto.news
