바이브 체크
I’m happy to translate the article for you, but I’ll need the full text you’d like translated. Please paste the content (excluding the source line you already provided) and I’ll return a Korean version while preserving the original formatting, markdown, and any code blocks or URLs.
Source: …
AI‑생성 코드가 이미 보안 문제다
주요 통계
- **25 %**의 최신 Y Combinator 배치가 95 % AI‑생성된 코드베이스를 배포했습니다.
- **45 %**의 AI‑생성 코드는 보안 결함을 포함하고 있습니다 (Veracode 2025 GenAI Code Security Report).
- **84 %**의 개발자는 현재 AI 도구를 사용하고 있거나 워크플로에 도입할 계획이라고 보고했습니다.
AI‑지원 코딩에서 AI‑작성 코딩으로의 전환은 이미 이루어졌습니다. 진짜 질문은 그 시스템을 배포하는 사람들이 자신이 배포하고 있는 것을 이해하고 있는가이며, 데이터는 그렇지 않다고 말합니다.
사례 연구: Moltbook
“코드를 한 줄도 작성하지 않았어요. 기술 아키텍처에 대한 비전만 있었을 뿐, AI가 그것을 현실로 만들었습니다.” – Matt Schlicht, Moltbook 설립자
무슨 일이 있었는가
- Moltbook – AI 기반 소셜 네트워크 –가 보안이 취약한 Supabase 데이터베이스를 통해 150만 개의 API 키, 3만 5천 개의 이메일 주소, 그리고 4,060개의 개인 대화를 유출했습니다.
- 해당 데이터베이스는 행 수준 보안이 없으며, 클라이언트‑사이드 JavaScript에 하드코딩된 자격 증명이 포함되어 있었고, URL을 알게 된 누구에게나 모든 테이블에 대한 전체 읽기/쓰기 접근 권한을 부여하고 있었습니다.
- Wiz 보안 연구원과 독립 연구자가 동시에 취약점을 발견했으며, Moltbook은 몇 시간 안에 이를 패치했습니다.
피해
- 등록된 150만 명의 에이전트( GPT, Claude, DeepSeek 기반 자율 시스템)들이 OpenAI, Anthropic, AWS, GitHub, Google Cloud에 대한 평문 자격 증명을 공개적으로 읽을 수 있는 테이블에 저장하고 있었습니다.
- 정확한 피해 기간은 알려지지 않았지만, 이번 노출은 단일 실수가 아닌 체계적인 실패를 보여줍니다.
왜 이것이 일시적인 현상이 아닌가
- **25 %**의 Y Combinator 2025년 겨울 배치가 95 % AI‑생성된 코드베이스를 보고했습니다.
- **45 %**의 AI‑생성 코드에 보안 결함이 존재합니다 (Veracode 2025).
- CodeRabbit이 분석한 470개의 오픈‑소스 GitHub 풀 리퀘스트에서 AI‑공동 작성 코드가 인간이 작성한 코드보다 1.7 × 더 많은 주요 문제를 가지고 있었습니다.
- 2025년 12월 테스트에서 다섯 가지 인기 “vibe‑coding” 도구 전반에 걸쳐 69개의 취약점이 발견됐으며, 그 중 반 다스가 심각한 수준이었습니다.
- LLM에게 보안이 확보된 솔루션과 보안이 취약한 솔루션 중 하나를 선택하도록 했을 때, **거의 50 %**의 경우에 보안이 취약한 경로를 선택했습니다.
일반적인 결함
- 하드코딩된 자격 증명
- 약한 인증 로직
- 부적절한 입력 검증
- 누락된 접근 제어
이러한 문제들은 주니어 개발자가 코드 리뷰에서 잡아낼 수 있는 수준이지만, 프롬프트 엔지니어가 자신이 작성하지 않은 코드를 의미 있게 평가할 수 없기 때문에 vibe‑coded 애플리케이션은 거의 리뷰를 받지 못합니다.
AI‑생성 코드의 독특한 실패 모드
AI 에이전트가 런타임 오류를 만나면 오류를 없애는 가장 간단한 경로를 최적화합니다. 실제로는 다음과 같은 경우가 많습니다:
- 검증 체크 제거
- 데이터베이스 보안 정책 완화
- 인증 흐름을 완전히 비활성화
인간 개발자: 인증 오류 발생 → 인증을 디버깅한다.
AI 에이전트: 인증 오류 발생 → 인증을 제거한다.
두 경우 모두 실행 가능한 코드를 얻지만, AI의 해결책은 보안 취약점을 도입합니다. 이 문제는 AI에게 프롬프트를 제공한 사람이 제거된 부분을 인식할 모델이 없기 때문에 눈에 보이지 않습니다.
공급망 전반의 구조적 문제
“AI 구성 요소는 공급망 전반에 걸쳐 지속적으로 변하지만 기존 보안 제어는 정적인 자산을 가정합니다.” – Omar Khawaja, VP at Databricks
전통적인 소프트웨어는 알려진 소유자가 있어 목적을 이해하고 의사결정을 추적할 수 있습니다. AI‑생성 코드는 그 속성을 결여합니다:
- 기억 없음: 언어 모델은 특정 변경을 수행한 이유에 대한 기록을 보존하지 않습니다.
- 불투명한 최적화: 모델이 더 이상 존재하지 않는 제약 조건을 기준으로 최적화했을 수 있습니다.
- 역공학 필요: 보안 엔지니어는 자신이 작성하지 않은 코드를 해부하고 질문할 수 없어야 합니다.
인간이 작성한 코드에서 취약점이 발견되면, 엔지니어는 결함을 특정 의사결정으로 추적하고 자신 있게 수정할 수 있습니다. 반면, vibe‑coded 코드에서는 엔지니어가 블랙박스를 역공학해야 하므로 시간, 비용, 추가 파손 위험이 증가합니다.
기업 영향
- 평균 기업은 이미 추정 1,200개의 비공식 AI 애플리케이션을 운영하고 있습니다.
- **63 %**의 직원이 2025년에 개인 챗봇 계정에 민감한 회사 데이터를 붙여넣었습니다.
- **86 %**의 조직이 AI 데이터 흐름에 대한 가시성 부족을 보고했습니다.
채팅 인터페이스에 이미 심각한 “섀도우 AI” 문제는 이러한 인터페이스가 프로덕션 코드를 생성할 때 구조적 문제가 됩니다.
속도 vs. 비용
| 상황 | 이점 | 비용을 부담하는 주체 |
|---|---|---|
| 기존 기업 | MVP를 더 빠르게 제공하고 시장 진입 시간을 단축 | 보안 팀(후속 복구) |
| 스타트‑업 | 개발 팀 없이 제품을 출시할 수 있음 | 사용자(앱에 데이터를 맡기는 사람) |
| Moltbook | 코드를 작성하지 않고 전체 소셜 네트워크를 구축 | 자격 증명이 노출된 150만 개의 자율 에이전트 |
The vibe‑coding pitch는 속도이다: “몇 주가 걸리던 것을 몇 시간 안에 만든다.” The real question은 그 속도가 어떤 비용을 초래하는가와 그 비용을 최종적으로 누가 부담하는가.
요점
- AI‑생성 코드는 이미 널리 퍼져 있으며 규모에 따라 본질적으로 안전하지 않다.
- 지식이 풍부한 인간 검토자의 부재는 단순하지만 중요한 보안 구성 오류가 프로덕션에 들어가게 하는 사각지대를 만든다.
- AI‑구동 워크플로에 대한 조직적 가시성과 지속적으로 변화하는 AI 구성 요소를 고려한 강력한 보안 제어가 필수적이다.
산업계가 보안보다 속도를 계속 우선시한다면, 숨겨진 비용—데이터 유출, 신뢰 상실, 규제 벌금—은 AI‑우선 개발을 옹호한 혁신가가 아니라 사용자, 고객, 그리고 하위 보안 팀에게 점점 더 크게 전가될 것이다.
OpenAI와 Anthropic, AWS에 대한 데이터가 인터넷에 연결된 누구나 읽을 수 있는 데이터베이스에 저장되었다.
에이전트를 연결하도록 설계된 플랫폼이 대규모 침해의 벡터가 되었다. 설립자는 속도를 축하했고, 연구원들은 문을 찾았다.
모든 기능 테스트를 통과하지만 모든 보안 테스트에 실패하는 코드를 일컫는 말이 있다. 그것은 작동하다가 멈춘다. 그리고 그것을 만든 사람은 어느 부분이 문제인지 말할 수 없다 — 왜냐하면 한 줄도 작성하지 않았기 때문이다.
원문은 The Synthesis에 처음 게재되었습니다 — 내부에서 인텔리전스 전환을 관찰합니다.