CertiK, 실제 해킹 35건 학습한 AI 보안 감사 도구 출시

CertiK가 실제 해킹 사고 35건을 학습한 AI 보안 감사 도구 'AI Auditor'를 출시했다. 테스트 결과 취약점 탐지율 88.6%를 기록했다고 말했다. AI가 코드를 대량 생성하는 시대, 보안 감사도 자동화로 넘어가고 있는가.

88.6% 탐지율, 어떻게 읽어야 하나

CertiK가 공개한 수치는 하나다. 실제 보안 사고 35건을 기반으로 테스트했을 때 취약점의 88.6%를 탐지했다는 것. 다단계 검증기(multi-step validator) 시스템을 통해 오탐(false positive)을 최소화했다고 밝혔지만, 오탐률이 정확히 몇 퍼센트인지는 공개되지 않았다.

88.6%라는 수치를 그대로 받아들이기 전에 두 가지를 확인해야 한다. 첫째, 35건이라는 샘플 크기는 통계적으로 작다. 동일한 모델을 더 넓은 데이터셋에 적용했을 때 같은 수치가 나온다는 보장이 없다. 둘째, 비교 기준이 없다. 기존 수동 감사나 다른 자동화 도구의 평균 탐지율이 얼마인지 소스에서 제시되지 않았기 때문에, 이 수치가 높은 것인지 낮은 것인지 단독으로는 판단이 어렵다.

그럼에도 이 도구가 눈에 띄는 이유는 학습 데이터에 있다. 합성 시나리오가 아닌 실제 발생한 해킹 사고를 바탕으로 학습했다는 점에서, 현실 환경에서의 탐지 가능성은 이론 모델보다 높을 수 있다.

솔로 빌더에게 이게 왜 지금 문제인가

바이브 코딩과 AI 코드 생성 도구가 보편화되면서, Web3 프로젝트를 혼자 만드는 빌더도 이전보다 훨씬 빠르게 스마트 컨트랙트를 배포하고 있다. 문제는 속도가 빨라질수록 보안 검토가 생략되기 쉽다는 것이다.

전통적인 보안 감사는 전문 업체에 의뢰하는 방식이었다. 비용은 수천만 원에서 수억 원 단위, 기간은 수 주에서 수 개월. 솔로 빌더나 초기 스테이지 팀이 접근하기 어려운 구조였다.

CertiK AI Auditor는 이 구조를 바꾸려는 시도다. 개발 워크플로우에 직접 통합하는 형태로 제공된다고 밝혔다. 배포 전 자동으로 코드를 스캔하고 취약점을 잡아낼 수 있다면, 보안 감사의 진입 장벽이 실질적으로 낮아진다. 다만 현재 공개된 정보로는 무료 티어 여부, 가격 구조, 한국에서의 접근성은 확인되지 않는다.