
2026년 7월 4일, Hexens라는 보안 회사가 Aptos Move 가상 머신에서 단일 타입 혼동(type-confusion) 버그가 발견되어 약 $70억 규모의 1차 가치가 공격자에게 이론적으로 노출됐을 수 있음을 공개했습니다. 연구진은 $3,000 상당의 서버로 시뮬레이션된 Aptos 환경에서 해당 취약점을 재현해 약 90%의 성공률을 기록했고, 2월 말 Aptos 팀에 이를 알렸습니다. Aptos는 메인넷에 영향을 주기 전에 패치를 완료하여 자금 손실은 발생하지 않았습니다.
이처럼 큰 수치는 Move 기반 자산을 보유한 누구에게나 안전성에 대한 의문을 낳을 수 있습니다. Aptos와 Sui는 모두 Meta의 중단된 Diem 프로젝트에서 출발한 같은 언어를 사용하며, Movement와 Sei 역시 유사한 계열에 속합니다. 만약 한 가지 결함으로 Aptos에서 $70억이 노출될 수 있었다면, Move 계열 블록체인 전체가 불안정한 기반에 있는 것일까요?
이 글에서는 실제로 어떤 취약점이었는지, 영향 범위, Aptos와 Sui의 위험 프로필 차이, 그리고 이 버그가 사전에 패치되었을 때 APT 또는 SUI 보유에 미치는 의미를 살펴봅니다.
$70억 결함의 실제 내용
Hexens는 해당 취약점을 오래된 캐시(stale-cache)로 인한 타입 혼동(type-confusion) 버그로 설명했습니다. 이는 가상 머신이 온체인 리소스의 종류를 잘못 인식해 권한이 없는 사용자가 권한을 위조할 수 있게 만드는 취약점입니다. 실제 소유권과 권한을 나타내는 리소스 중심 언어에서 타입 혼동은 매우 치명적인 문제입니다.
$70억이라는 수치는 단일 계약에 모인 자금이 아니라, 공격자가 위조된 권한으로 이론적으로 도달할 수 있는 전체 시스템적 위험을 추정한 값입니다. 여기에는 브릿지, 크로스체인 메시징 시스템, 스테이블코인 관리 플로우, 그리고 체인에 연결된 중앙화 플랫폼의 자산까지 포함됩니다. 연구진에 따르면 LayerZero, Wormhole, USDC의 크로스체인 전송 시스템 등의 프로토콜 레벨 권한도 영향 범위에 들어갔습니다.
이 사건이 대형 사고로 이어지지 않은 이유는 두 가지입니다. 해당 버그는 비공개로 보고되어 몇 달 전에 이미 패치되었고, 실제 메인넷이 아닌 실험 환경에서만 취약점이 입증되었습니다. 이 사건의 핵심은 진입장벽이 낮다는 점입니다. 체인 전체를 위협할 수 있는 버그를 찾는데 거대한 예산이 아닌, 중간급 서버와 Move VM 구조에 대한 깊은 이해만 있으면 가능하다는 점입니다.
Move란 무엇이며 어떤 블록체인이 사용하는가
Move는 Meta의 중단된 스테이블코인 프로젝트 Diem을 위해 설계된 리소스 중심 프로그래밍 언어입니다. 자산을 소유자 간 이동만 가능하게 하여 복사나 무단 삭제를 방지하는 설계로, 과거 스마트 컨트랙트 플랫폼에서 막대한 자금 손실을 야기한 버그의 상당수를 차단합니다.
Move는 하나의 블록체인이라기보다는 여러 독립적인 팀이 각자 구현한 공용 설계도에 가깝습니다. Aptos는 계정 기반 데이터 모델과 Block-STM이라는 병렬 실행 엔진을 사용합니다. **Sui**는 개별 오브젝트 중심 모델로, 별도의 Sui Move 가상 머신 위에서 동작합니다. **Movement (MOVE)**는 이더리움 호환성을 목표로 하는 Move 기반 네트워크를 구축 중이며, Sei 역시 자체 병렬화 설계를 채택하고 있습니다.
중요한 점은 언어 자체와 특정 팀의 구현을 구분해야 한다는 것입니다. 언어는 타입, 소유권, 접근 규칙을 정의하며, 각 체인의 가상 머신은 이를 실행 시 enforce합니다. 버그가 특정 팀의 실행 소프트웨어에 있다면, Move 언어 자체의 문제는 아닙니다.
Sui도 영향을 받았나, 아니면 Aptos VM만의 문제인가
이는 Aptos 고유의 문제였으며, Move 전체의 문제는 아닙니다. 해당 결함은 Aptos 팀이 리소스 접근 속도를 높이기 위해 작성한 캐시 경로에만 존재했으며, Sui는 이 코드베이스를 공유하지 않습니다.
Sui는 Mysten Labs가 별도로 개발한 Sui Move 가상 머신에서 오브젝트 중심 소유권 모델을 사용합니다. 두 체인은 언어 철학은 같지만, 실행 구조가 달라 캐시 관련 버그가 Sui로 전이될 수 없습니다. Movement와 Sei 역시 영향을 받지 않았습니다.
핵심은 이 결함이 구현상의 실수였다는 점입니다. Move 언어의 타입 시스템은 정상적으로 작동했고, 고성능 런타임에서 발생할 수 있는 데이터 캐싱 오류였습니다. 즉, Move 기반 체인은 각자의 엔지니어링 품질과 감시 체계에 따라 위험이 개별적으로 존재합니다.
Aptos와 Sui: 두 Move 체인의 위험 프로필 비교
두 체인은 Meta Diem 출신 팀이 개발했지만, 현재는 서로 다른 강점과 노출 구조를 보입니다. Aptos는 스테이블코인과 기업 협업에서 앞서 있고, Sui는 온체인 경제 규모가 큽니다. 아래 표는 2026년 기준 두 체인의 주요 비교 항목을 정리한 것입니다.
| 항목 | Aptos (APT) | Sui (SUI) |
| 출시 및 팀 | 2022년 메인넷, Aptos Labs (Meta Diem 출신) | 2023년 메인넷, Mysten Labs (Meta Diem 출신) |
| 데이터 모델 | 계정 기반 | 오브젝트 중심 |
| Move 방언 | 코어 Move | Sui Move(별도 VM) |
| 합의 구조 | Aptos BFT + Block-STM | Mysticeti, 1초 미만 최종성 |
| 스테이블코인 시가총액 | Move 계열 중 1위, 약 $16억 | 약 $7억 |
| DeFi TVL | 최대 약 $10억 | 더 높음, 최대 $26억 |
| 7월 결함 노출 | 패치 완료, 자금 손실 없음 | 영향 없음 |
두 체인 중 어느 쪽이 본질적으로 더 안전하다고 단정할 수는 없습니다. Aptos는 실제 보안 이슈를 빠르게 비공개 패치하고 자금 손실이 없어 신뢰성을 입증했으며, Sui는 구조상 해당 취약점의 영향을 받지 않았지만 자체 코드의 검증 이력은 적습니다. 특히 Sui의 DeFi TVL이 많아 잠재적 위험 노출 시 체인 전체에 미치는 영향이 클 수 있습니다.
APT 또는 SUI 보유자에게 이번 결함이 의미하는 것
실질적으로는 헤드라인에서 느낄 만한 불안감보다는 차분한 평가가 필요합니다. 핵심 버그는 보안 전문 연구진에 의해 책임감 있게 제보됐고, 누구도 피해 없이 패치되었습니다. 오히려 공격자가 먼저 발견해 잔고 손실로 공개되는 체인이 더 걱정해야 할 대상입니다.
이는 Aptos 및 Move 계열 체인들이 여전히 공격 표면이 넓은 신흥 네트워크임을 시사합니다. $3,000 서버로 $70억 위험 발견이 가능했다는 점은, 향후에도 심각한 버그 가능성을 배제할 수 없음을 뜻합니다. Move 자산을 피하기보다는, 인프라 위험이 비트코인 등과 비교해 높다는 점을 감안해 투자 규모를 조정하고, 버그 바운티 및 공개 감사를 활발히 진행하는 프로젝트를 우선 검토하는 것이 바람직합니다. DeFi 해킹과 브릿지 취약점에 대한 상세 분석은 DeFi 해킹 및 브릿지 취약점 설명에서 확인할 수 있습니다.
단기적으로는 자금 유출이 없었던 만큼 시장에 미치는 영향도 제한적입니다. 강제 청산이나 프로토콜 부실 이슈가 없었고, APT도 7월 4일 뉴스 이후 큰 변동 없이 유지되었습니다.
자주 묻는 질문
Sui도 Aptos 결함의 영향을 받았나요?
아닙니다. 해당 타입 혼동 버그는 Aptos Move VM에서만 발견되었으며, Sui는 Mysten Labs가 구축한 별도 Sui Move VM을 사용해 직접적인 영향이 없었습니다.
$70억이라는 수치는 실제로 탈취 위험이 있었던 금액인가요?
직접적으로는 아닙니다. 이 수치는 위조된 권한을 통한 시스템 리스크를 이론적으로 추산한 것으로, 실제 자금 유출은 Aptos가 사전에 패치해 발생하지 않았습니다.
Move 언어 자체가 불안정한가요?
이번 결함은 한 팀의 런타임 캐싱 구현상의 실수로, Move 타입 시스템의 문제는 아니었습니다. Move의 리소스 모델은 정상적으로 유지되었으며, 언어 자체는 자산 중복 발생을 방지하는 데 강점을 가진 설계입니다.
이번 이슈로 APT나 SUI를 매도해야 하나요?
이 결함으로 인한 매도 사유는 없습니다. 자금 손실이 없었고, 취약점은 이미 해결되었습니다. 다만 Move 계열 체인이 신생 네트워크임을 감안해 투자 규모를 조정하고, 버그 바운티와 공개 감사 등 보안 프로세스가 활발한 프로젝트를 우선적으로 검토하는 것이 합리적입니다.
결론
$70억이라는 수치는 실제 위기를 나타내지만, 결과적으로 사고가 발생하지 않은 사례입니다. Hexens가 Aptos VM에서 치명적인 버그를 발견했고, Aptos는 2월 말 비공개로 패치해 메인넷 자금은 전혀 영향을 받지 않았습니다. Sui, Movement, Sei 등은 각자 별도의 가상 머신 구조로 인해 영향을 받지 않았습니다. 이 사건은 고성능 신생 체인에서도 낮은 비용의 서버로 대규모 위험이 탐지될 수 있음을 보여줍니다. Move 자산 투자 시 이러한 현실을 감안해 규모를 조정하고, 실시간 버그 바운티 프로그램 도입 여부를 중요한 선택 기준으로 삼는 것이 좋습니다.
이 글은 정보 제공 목적이며, 재정적 또는 투자 권유가 아닙니다. 암호화폐 거래에는 상당한 위험이 따르므로, 거래 전 충분한 자체 조사를 권장합니다.
