지캐시를 뒤흔든 오처드 버그: AI가 찾아낸 4년 묵은 치명적 결함

2026년 5월, 프라이버시 코인의 대명사인 지캐시(Zcash)에 초비상이 걸렸다. 루틴한 보안 감사에서 시작된 불씨는, 4년간 아무도 몰랐던 치명적 결함의 발견으로 이어졌다. 공개 직후 시장은 패닉에 빠졌고, 시가총액 3조 원이 증발했다. 하지만 불과 열흘 만에 가격은 폭락 이전 수준을 회복하며 모두를 놀라게 했다. 이 모든 과정의 중심에는, 프라이버시를 위해 설계된 기술이 아이러니하게도 '완전한 진실'을 가로막고 있다는 근본적인 딜레마가 자리 잡고 있다.

AI가 찾아낸 4년 묵은 시한폭탄

2026년 5월 29일, 지캐시 생태계 지원 조직인 쉴디드 랩스(Shielded Labs)의 의뢰로 감사를 진행 중이던 독립 보안 연구원 테일러 혼비(Taylor Hornby)는 충격적인 사실을 발견했다. 그가 Anthropic의 클로드 오푸스(Claude Opus) 4.8 AI를 활용해 찾아낸 것은, 지캐시의 가장 진보된 프라이버시 풀인 '오처드(Orchard)'의 핵심 회로에 숨은 '건전성(soundness)' 버그였다 .

이 취약점의 핵심은 영지식 증명(Zero-Knowledge Proof)의 근간을 흔드는 것이었다. 공격자가 타원 곡선 검증을 우회하여 유효하지 않은 증명을 마치 진짜인 것처럼 통과시킬 수 있었고, 이를 통해 오처드 쉴드 풀 안에서 무한정, 그리고 완전히 추적 불가능한 위조 지캐시(ZEC)를 찍어낼 수 있었다 . 쉴드 풀의 강력한 암호화 덕분에, 만약 범죄가 일어났다 해도 블록체인에는 어떠한 흔적도 남지 않았을 것이다 .

가장 섬뜩했던 점은 이 버그의 나이였다. 2026년 5월에 발견된 이 결함은, 오처드 풀이 처음 출시된 2022년 5월부터 무려 4년 동안 아무도 모르는 채 방치되어 있었다 .

5일 만에 완료된 초긴급 수술: 두 단계 네트워크 업그레이드

지캐시 재단(Zcash Foundation)과 오픈 개발 연구소(ZODL)는 즉각 대응에 나섰다. 버그 발견부터 영구적인 패치까지, 전 과정이 불과 5일 만에 마무리되는 신속함이었다 .

1. 소프트 포크 (2026년 6월 2일): 블록 높이 3,363,426에서 모든 오처드 트랜잭션을 일시적으로 비활성화했다. 이는 개발자들이 근본적인 해결책을 준비하는 동안 잠재적인 공격을 원천 봉쇄하기 위한 선제 조치였다 .
2. 하드 포크 'NU6.2' (2026년 6월 3일): 블록 높이 3,364,600에서 검증 키가 수정된 새로운 회로가 적용되며 오처드 트랜잭션이 재개되었다. 이로써 오처드 풀 내에서의 위조 가능성은 영구적으로 제거되었다 .

지캐시 재단은 이 과정에서 무단으로 생성된 가치는 없었으며, 샤플링(Sapling) 풀과 트랜스페어런트(Transparent) 풀은 이번 취약점의 영향을 전혀 받지 않았다고 확인했다 .

공포에 질린 시장: 48시간 만에 반 토막

하지만 시장은 개발자들만큼 냉철하지 않았다. 취약점이 대중에게 공개된 6월 5일, 시장의 반응은 신속하고 잔인했다.

구분	날짜	가격 (USD)
폭락 직전 최고가	6월 4일	약 $624
패닉 저점	6월 5일	약 $309
48시간 하락률	-	약 50% 폭락

급락을 부추긴 요인은 복합적이었다. '총 발행량 2,100만 개'라는 지캐시의 근본적인 신뢰가 흔들리자 공포에 질린 투매가 쏟아졌다 . 설상가상으로 암호화폐 거래소 비트멕스(BitMEX)의 공동 창립자인 아서 헤이즈(Arthur Hayes)가 자신의 ZEC 포지션을 공개적으로 정리했다는 소식이 전해지며 매도 압력에 기름을 부었다 . 이 광풍 속에서 지캐시의 시가총액은 48시간 만에 30억 달러(약 3조 원) 이상 증발했다 .

짜릿한 반전: 13억 원 규모의 숏 스퀴즈와 함께 530달러 돌파

그로부터 불과 열흘 후, 상황은 180도 달라졌다. 2026년 6월 15일에서 16일 사이, ZEC는 530~540달러 선까지 치솟았다. 309달러 저점 대비 70% 이상 폭등한 것이다 .

이 극적인 반등을 이끈 것은 세 가지 촉매제였다.

• 청신호가 된 재감사: 긴급 패치 이후 AI를 활용한 후속 보안 감사에서 프로토콜에 더 이상의 치명적 버그가 존재하지 않는다는 사실이 확인됐다. 이로써 프로토콜의 안전성에 대한 신뢰가 극적으로 회복되었다 .
• 공매도 세력의 연쇄 청산: 50% 폭락을 틈타 ZEC 하락에 막대한 베팅을 걸었던 공매도 세력이 반등장에 무릎을 꿇었다. 가격 방향이 바뀌자, 공매도 포지션을 유지하기 위해 강제로 주식을 사들여야 하는 '숏 스퀴즈'가 발생했다. 불과 10시간도 안 되는 시간 동안 ZEC는 426달러에서 500달러 선으로 폭등하며 1,300만 달러(약 130억 원) 이상의 숏 포지션을 청산시켰고, 시가총액은 10억 달러 이상 불어났다 .
• 우호적인 거시 환경: 미국-이란 평화 협정 관련 긍정적 헤드라인 등 글로벌 금융 시장의 위험 선호 심리가 회복된 것도 ZEC의 상승 탄력을 더했다 .

급등 절정기에는 ZEC의 24시간 상승률이 25.3%에 달하며 530.91달러를 기록했다 .

영원히 풀리지 않을 의문: 증명할 수 없는 공급량

버그는 사라졌다. 그러나 누구도 입 밖에 꺼내기 꺼려하는 가장 불편한 질문 하나가 여전히 남아 있다. "지난 4년 동안, 정말 아무도 이 구멍을 이용하지 않았을까?"

사용자를 보호하는 지캐시의 강력한 프라이버시 설계가, 이제는 완전한 감사를 가로막는 영원한 장벽이 되었다. 쉴디드 랩스는 이에 대해 솔직한 고백을 남겼다. "오처드의 프라이버시 속성과 버그의 특성상, 이 취약점이 존재했던 4년의 기간 동안 실제 악용이 발생했는지 여부를 결정적으로 증명할 수 있는 암호학적 방법은 없다" . 선량한 사용자를 위해 거래를 추적 불가능하게 만드는 바로 그 장치가, 잠재적인 공격자의 범죄 행위 역시 완벽하게 은폐해 주는 것이다.

지캐시 재단이 '투명 풀'에 적용한 '회전식 문 회계(turnstile accounting)' 상으로는 이상 징후가 발견되지 않았다고 하지만, 이는 어디까지나 방패막이 역할을 하는 쉴드 풀 내부의 총합을 정확히 증명하는 결정적인 증거가 될 수는 없다 . 이는 추론이지, 보장이 아닌 것이다. 이 때문에 암호화폐 커뮤니티는 "개발자들이 문을 고쳤지만, 그동안 아무도 그 문으로 드나들지 않았다는 것을 증명할 수는 없다"는 암호학적 불확실성 속에 놓이게 되었다 .

이제 이 '증명의 공백'은 프로토콜의 미래를 위한 핵심 과제로 떠올랐다. 쉴디드 랩스를 비롯한 개발 공동체는 누구나 독립적으로 총 ZEC 공급량을 검증할 수 있는, 보다 강력한 공급량 검증 메커니즘을 갖춘 새로운 쉴드 풀의 도입을 적극적으로 논의하고 있다. 이는 현재의 오처드 설계 구조로는 도저히 지원할 수 없는 기능이다 .

오처드 버그 사태는 지캐시 보안 대응 체계의 진가를 확인시켜 준 고강도 시험이었고, 개발팀은 이를 훌륭하게 통과했다. 그러나 최근 공급량 기록을 덮고 있는 영원히 걷히지 않을 안개는, 절대적인 프라이버시와 완벽한 감사 가능성이 근본적으로 양립하기 어려운 개념임을 뼈저리게 상기시킨다. 새로운 설계가 이 간극을 메우기 전까지, 지캐시는 이 불확실성을 반영한 리스크 프리미엄을 안은 채 거래될 수밖에 없을 것이다.