 프로토콜의 보안 패러다임 전환을 촉구하고 나섰다. 작년 한 해에만 6억 5,000만 달러가 코드 취약점으로 유출되면서 근본적인 보안 접근법 변화가 필요하다는 지적이다. [!--{MTITLE}--!]\"코드가 곧 법률\"에서 \"규범이 곧 법률\"로[!--{//MTITLE}--!] a16z 크립토의 박대준 블록체인 보안 선임 연구원은 최근 발표한 글에서 탈중앙화 금융(DeFi) 프로토콜이 \"코드가 곧 법률(Code is Law)\"에서 \"규', 'https://img.blockstreet.co.kr/photo/2026/01/20/20260120000009_0640.png', 'https%3A%2F%2Fwww.blockstreet.co.kr%2Fnews%2Fview%3Fud%3D2026012012595097664'));){kind=link}
"코드가 곧 법률→규범이 곧 법률로"…불변성 검사로 해킹 사전 차단 제안
);)
(출처= a16zcrypto.com/team/daejun-park/)
"코드가 곧 법률"에서 "규범이 곧 법률"로
a16z 크립토의 박대준 블록체인 보안 선임 연구원은 최근 발표한 글에서 탈중앙화 금융(DeFi) 프로토콜이 "코드가 곧 법률(Code is Law)"에서 "규범이 곧 법률(Spec is Law)"로 전환해야 한다고 주장했다.
박 연구원은 보다 원칙적인 보안 접근법을 채택할 것을 제안하며, 구체적인 방법으로 표준화된 규범과 불변성 검사(Invariant Checks)를 통해 보안 보장을 하드코딩하고, 사전 정의된 규칙을 위반하는 거래를 자동으로 되돌리는 방식을 제시했다.
그는 "거의 모든 알려진 취약점이 이러한 검사를 통해 감지될 수 있으며, 실행 과정에서 해킹을 차단할 수 있을 것"이라고 설명했다.
작년 코드 취약점 피해액 6.5억 달러 육박
슬로우미스트(Slowmist) 보고서에 따르면, 지난해 해커들은 코드 취약점을 통해 6억 4,900만 달러 이상을 탈취했다.
2021년부터 운영된 노련한 프로토콜인 밸런서(Balancer)조차 지난해 11월 코드 취약점으로 1억 2,800만 달러의 손실을 입었다. 개발자들은 해커들이 점점 더 인공지능(AI)을 활용해 취약점을 찾아내고 있다는 점을 우려하고 있다.
DeFi 생태계는 그동안 "코드가 곧 법률"이라는 원칙 아래 스마트 계약 코드 자체를 절대적 규칙으로 간주해왔지만, 연이은 대규모 해킹 사고로 이러한 접근법의 한계가 명확히 드러나고 있다.
"만능 해결책 아냐" 신중론도 제기
다만 업계 일각에서는 불변성 검사가 만능 해결책은 아니라는 신중론도 제기된다.
이뮤네파이(Immunefi)의 보안 책임자는 "불변성 검사는 가스(Gas) 비용을 증가시켜 사용자 이탈을 초래할 수 있다"며 "만능약이 아니다"라고 지적했다.
어심메트릭 리서치(Asymmetric Research)의 공동 창업자는 "많은 취약점의 경우 공격을 감지하면서도 오탐(False Positive)을 일으키지 않는 불변성 규칙을 작성하기 어렵다"고 밝혔다.
그럼에도 디파이 보안 강화를 위한 근본적 접근법 변화가 필요하다는 데는 업계 전반이 공감하고 있으며, a16z 크립토의 제안은 향후 디파이 보안 표준 논의에 중요한 출발점이 될 것으로 전망된다.
최주훈 joohoon@blockstreet.co.kr