실제 해킹 35건으로 훈련된 AI, 취약점 88.6% 탐지

CertiK가 'AI Auditor'를 출시했다. 실제 보안 사고 35건 데이터로 학습해 취약점 88.6%를 탐지한다고 밝혔다. 스마트 컨트랙트 감사 비용이 수천만 원에 달하는 Web3 시장에서, AI가 그 자리를 얼마나 채울 수 있는지가 관건이다.

88.6% 탐지율이 의미하는 것과 빠진 것

기존 스마트 컨트랙트 보안 감사는 전문 인력이 코드를 수작업으로 검토하는 방식이다. 건당 수천에서 수만 달러가 들고, 일정도 수 주에서 수개월이 걸린다. CertiK AI Auditor는 이 과정을 자동화하겠다는 목표로 설계됐다.

탐지율 88.6%는 실제 사고 35건을 기준으로 산출된 수치다. 이론적 테스트셋이 아니라 현장에서 터진 공격 패턴을 기반으로 했다는 점이 차별화 포인트다. 다단계 검증기(Multi-stage Validator) 시스템으로 개발 워크플로우에 통합도 가능하다고 밝혔다.

그러나 88.6%는 동시에 11.4%를 탐지하지 못한다는 뜻이기도 하다. Web3 프로젝트에서 놓친 취약점 하나가 수십억 원 규모 피해로 이어진 사례는 반복됐다. Slither, MythX 같은 기존 정적 분석 도구와 동일 조건에서 비교한 데이터는 현재 공개되지 않았다. '오탐 최소화'도 정량 수치 없이 방향만 제시된 상태다.

Web3 빌더가 지금 확인해야 할 세 가지

AI Auditor가 실제로 수동 감사를 대체할 수 있는지 판단하려면 아직 공개되지 않은 정보가 필요하다.

- 가격: 무료 티어 유무, 유료 플랜 구조가 공개되지 않았다. 수동 감사 대비 비용 절감 계산 자체가 불가능한 상황이다. - 한국 접근성: 한국에서 가입·결제가 가능한지, 한국어 인터페이스 지원 여부가 확인되지 않았다. - 병행 필요성: 88.6% 탐지율을 감안하면 고액 자산을 다루는 프로젝트에서는 AI 감사 이후 수동 검토를 병행하는 구조가 현실적이다. AI Auditor는 비용 절감 도구일 수 있지만, 완전한 대체재라고 보기는 아직 이르다.