Vibe 코딩된 Lovable-hosted 앱에 기본 결함이 난무, 18K 사용자 노출
Source: Hacker News
Vibe‑coding 플랫폼인 Lovable은 사용자가 게시 전에 표시된 보안 문제를 해결할 책임이 있다고 말한 뒤, 취약점이 난무하는 앱을 호스팅한 혐의를 받고 있습니다.
Taimur Khan, 소프트웨어 엔지니어링 배경을 가진 기술 기업가는 16개의 취약점을 발견했으며, 그 중 6개는 중대한 것으로 그는 말했습니다. 이 취약점은 단일 Lovable‑호스팅 앱에서 발생했으며, 18,000명 이상의 개인 데이터를 유출했습니다.
- 그는 공개 과정에서 앱 이름을 밝히기를 거부했지만, 해당 앱은 Lovable 플랫폼에 호스팅되어 있었으며 Discover 페이지에 소개되었습니다.
- 칸이 조사를 시작했을 때 해당 앱은 >100 k 조회수와 약 400개의 찬성표를 기록하고 있었습니다.
Source: …
주요 문제
Khan은 문제의 원인이 Lovable 플랫폼에서 vibe‑코딩된 모든 앱이 Supabase 기반 백엔드와 함께 제공되기 때문이라고 설명했습니다. Supabase는 인증, 파일 저장 및 PostgreSQL 데이터베이스 연결을 통한 실시간 업데이트를 처리합니다.
개발자—이 경우 AI—또는 인간 프로젝트 소유자가 Supabase의 행‑레벨 보안 및 역할 기반 접근 제어와 같은 핵심 보안 기능을 명시적으로 구현하지 않을 경우, 생성된 코드는 겉보기에 정상적으로 동작하지만 실제로는 결함이 있습니다.
예시: 잘못된 인증 함수
Supabase 백엔드(원격 프로시저 호출을 사용)를 vibe‑코딩한 AI는 잘못된 접근 제어 로직을 가진 인증 함수를 구현했으며, 본질적으로 다음과 같은 문제를 일으켰습니다:
- 인증된 사용자를 차단
- 인증되지 않은 사용자를 허용
Khan은 다음과 같이 설명했습니다:
“목적은 관리자가 아닌 사용자가 앱의 일부에 접근하지 못하도록 차단하는 것이었지만, 잘못된 구현으로 인해 모든 로그인 사용자가 차단되었습니다—여러 중요한 기능에서 반복된 오류였습니다.
‘이게 뒤집힌 거야,’ 라고 Khan은 말했습니다. *‘가드가 허용해야 할 사람을 차단하고, 차단해야 할 사람을 허용한다. 인간 보안 검토자가 몇 초 만에 잡아낼 수 있는 고전적인 논리 역전인데, ‘작동하는 코드’를 목표로 최적화된 AI 코드 생성기는 이를 생산해 배포했다.’”
앱 자체가 시험 문제를 만들고 성적을 조회하는 플랫폼이었기 때문에, 사용자 기반은 자연스럽게 교사와 학생으로 구성되었습니다—UC Berkeley와 UC Davis와 같은 미국 최고 대학의 사용자와 “플랫폼에 미성년자가 있을 가능성이 높은 K‑12 기관”도 포함되었습니다.
결함의 영향
보안 결함이 존재할 경우, 인증되지 않은 공격자는:
- 모든 사용자 레코드에 접근
- 플랫폼을 통해 대량 이메일 전송
- 모든 사용자 계정 삭제
- 학생 시험 제출물 채점
- 조직 관리자 이메일 접근
노출된 데이터
| 카테고리 | 수 |
|---|---|
| 전체 사용자 레코드 | 18,697 |
| 고유 이메일 주소 | 14,928 |
| 학생 계정 (이메일 포함) | 4,538 |
| 기업 사용자 | 10,505 |
| 전체 PII 노출된 사용자 | 870 |
더 넓은 맥락
보안 결함은 Lovable이 호스팅한 앱에만 국한된 것이 아니며, 문제는 더 넓고 잘 문서화되어 있습니다.
- Vibe coding, 2025년 Collins Dictionary의 Word of the Year는 소프트웨어 개발의 가파른 학습 곡선을 낮추고 모든 “프롬프트 조키”가 앱 아이디어를 실현할 수 있게 하겠다고 약속했습니다.
- AI가 *수익성 높은 버그 현상금에 몰두하며 형편없는 버그 리포트를 생성*하거나 *지시사항을 끔찍하게 무시*하지 않을 때조차, 취약점이 가득한 화려해 보이는 앱을 내뿜을 수 있습니다.
최근 관련 기사
- Bcachefs 제작자, 자신의 맞춤형 LLM이 여성이고 “완전 의식이 있다”고 주장
- Anthropic이 AI가 COBOL을 빠르게 재작성할 수 있다고 지적한 뒤 IBM 주가 급락
- Amazon의 vibe‑coding 도구 Kiro가 과도하게 진동해 AWS를 다운시켰다 주장 (Amazon 부인)
- Agile Manifesto가 25주년을 맞이했으며, vibe coding이 이를 시험하기에 딱 맞는다
Veracode는 최근 AI가 생성한 코드의 45 %에 보안 결함이 포함돼 있다는 사실을 발견했으며(source), 최근 몇 달간 The Register가 보도한 수많은 고충 사례도 무시할 수 없습니다.
Khan’s stance
Khan은 Lovable이 호스팅하는 앱들의 보안에 대한 책임을 져야 한다고 믿습니다. 그는 회사 지원을 통해 자신의 발견을 보고한 후 티켓이 응답 없이 닫힌 것에 특히 화가 났습니다.
“Lovable이 인증이 ‘포함된’ 프로덕션‑레디 앱을 생성하는 플랫폼으로 시장에 나가려면, 자신이 생성하고 홍보하는 앱들의 보안 상태에 일정 부분 책임을 져야 합니다.
10만 명에게 앱을 선보이고 자체 인프라에 호스팅한 뒤, 누군가 사용자 데이터가 유출되고 있다고 알려도 티켓을 닫을 수는 없습니다. 최소한, 선보인 애플리케이션에 대한 기본 보안 스캔만으로도 이 보고서의 모든 중요한 발견을 잡아낼 수 있었을 것입니다.”
Lovable의 답변
Lovable은 The Register에 해당 앱의 소유자에게 연락을 취했으며 이러한 종류의 모든 발견을 “극히 심각하게” 받아들인다고 전했습니다.
폐쇄된 티켓과 관련해, Lovable의 CISO Igor Andriushchenko는 회사가 2월 26일 저녁에야 “적절한 공개 보고서”를 받았으며, 그 발견에 대해 “몇 분 안에” 조치를 취했다고 말했습니다.
“Lovable로 구축된 모든 프로젝트는 게시 전에 무료 보안 스캔을 포함합니다,” 라고 Andriushchenko는 The Register에 말했습니다. “이 스캔은 취약점을 검사하고, 발견될 경우 게시 전에 해결하기 위한 조치 권고를 제공합니다. 궁극적으로 이러한 권고를 구현할지는 사용자의 재량에 달려 있습니다.”
권고 사항
이 경우, 해당 구현이 이루어지지 않았습니다.
“이 프로젝트에는 Lovable이 생성하지 않은 코드도 포함되어 있으며, 취약한 데이터베이스는 Lovable이 호스팅하고 있지 않습니다. 우리는 현재 해당 문제를 해결하고 있는 앱 제작자와 연락을 취하고 있습니다.”