Vibe 코더, ‘비브’ 코딩으로 코드 스프래드 해결
Datadog, Jamf, ASOS 보안 리더들이 AI가 모든 직원의 코드 작성 역량을 손에 넣는 동안 조용히 진행되는 가시성 위기에 대해 논의합니다.
“클로드 토큰을 주말 내내 태우며 사용했어요,” 진행자는 말했다. “친구랑 만나는 것보다 더 재밌다.” 그는 웃었다.
패널에 있던 보안 리더들도 웃었으며, 약간은 긴장하며 웃었다. 그들은 AI를 활용해 자동화와 애플리케이션을 구축하는 매력을 이해한다. 또한 그 같은 충동이 조직 전체에 제약 없이 퍼질 때 어떤 일이 발생하는지 잘 알고 있다.
Workflow는 지능형 자동화 플랫폼 Tines가 주최한 실시간 가상 행사에서 핵심 토픽 중 하나였습니다.
모더레이터인 Activant Capital의 파트너 앤드류 스틸은 기업용 AI에 대해 10년간 투자하며 개인 실험이 업무 위험으로 전환되는 정확한 시점을 정확히 파악하고 있다. 불행하게도 IT 및 보안 리더들에게 많은 직원들이 그러지 않는다.
이 리더들이 AI가 모든 직원의 코드 작성 역량을 손에 넣는 상황에서 가시성과 제어를 어떻게 유지하는지 묻는 것이 바로 그가 Mario Villatoro(짐프 CISO), Indu Sajeev(전 ASOS CISO), Matt Muller(디애터고 보안 운영 담당 디렉터)에게 던진 질문이다.
야생 코드의 부상
코드 스프롤은 새로운 개념이 아니지만 2026년에는 급격히 퍼지고 있다. 보안 및 IT 팀들은 코드를 정원사가 잡초를 얘기하는 것처럼 이야기한다 — 빠르게 번지고 주변 모든 것을 압도할 위험이 있다.
RedAccess의 리포트를 스캔한 결과 38만 개가 넘는 공개 자산(앱, 데이터베이스, 관련 인프라)을 보안 검토 없이 구축한 것을 발견했으며, 약 5,000개는 민감한 기업 정보를 포함하고 있었다.
이들은 다양한 출처에서 비롯된다: 승인된 SaaS 도구에 내장된 AI 기능이 IT 검토 없이 활성화되고, 승인된 환경 밖에서 작성된 스크립트와 자동화, 중앙 가시성이 없는 개별 팀이 만든 에이전트가 그것이다.
이것은 반드시 악의적인 것이 아니며, 오히려 종종 의도적이고 긍정적이다. 이를 단순히 허용하는 대신 많은 조직은 적극적으로 장려한다.
[“비바 코딩”은 포춘 500대 기업들의 직무 사양에 나타나고 있다](https://www.linkedin.com/posts/antonosika_its-shocking-how-quickly-enterprise-companies-share-7370833460413960192-xYsZ/?utm_source=share&utm_medium=member_desktop&rcm=AcoAAAPOJJABExRRonER6DPSOz8IlR1- stJ38xM) Every employee who responds to that mandate is a potential source of ungoverned code. The roots are already taking hold.
[모든 Workflow 세션을 지금 보기](https://watch.workflow.live/?utm_source=BleepingComputer&utm_medium=paid_media&utm_content=article- CTAbox-1506)
IT와 보안 리더들이 실제로 AI와 자동화를 어떻게 적용하고 있는지 들어보세요.
AI 시스템을 보호하고, 워크플로 ROI를 증명하며, 파일럿을 넘어서는까지 실제적인 대화들 — 작동하는 것과 그렇지 않은 것, 그리고 생산 환경에서 AI가 어떻게 작동하는지에 대한 이야기들.
[지금 시작](https://watch.workflow.live/?utm_source=BleepingComputer&utm_medium=paid_media&utm_content=article- CTAbox-1506)
정책만으로는 충분하지 않다
“업무를 효율적으로 수행하려는 직원들은 가장 지속적이고 성공적인 APT(고급 持續 위협)입니다,” Datadog의 Matt Muller은 말했다. “최신 모델에 접근할 수 있다면 업무 성과를 높일 수 있다고 생각하면, 스크린샷을 찍어 휴대폰으로 개인 계정에 데이터를 전송하는 등 방법을 찾을 것입니다.” 가장 명백한 도구를 금지하면 행동은 더 은밀한 것으로 이동하여 가시성은 줄면서도 노출은 감소하지 않습니다.
ASOS의 Indu Sajeev는 전통적인 거버넌스 플레이나에 대한 한계가 명확히 드러났다: “종이 기반, 정책 기반 거버넌스 계층으로는 충분하지 않다고 생각한다. 그것은 지속적으로 핵심 인프라 수준에서 작동하는 코드화된 것이어야 한다.”
오늘 보안 리더들이 하고 있는 일
데이터 분류부터 시작하기
복잡한 접근이 가능해지기 전에는 Villatoro가 말한 무의미하고 비 glamorous한 기초 작업을 먼저 해야 합니다. 그 기반 없이 모든 하위 통제(접근 권한, 에이전트 거버넌스, 감사 기록)는 불안정한 토대 위에 세워집니다.
허브가 되는 것, 게이트키퍼가 되지 않기
Datadog에서 Muller의 접근은 보안 팀을 도구를 제공하는 사람이 아니라 사용법을 감시하는 사람이라는 입장으로 전환시키는 것이었다. “활동 자체보다는 활동을 수행할 수 있는 도구를 제공하는 중앙 허브가 가장 효과적이었다,“라고 말했다.
이 접근 방식은 개발자가 직접 구현하는 경우에 효과적이지만, 코드 스프롤은 HR, 마케팅, 재무와 같은 기능으로 확장되며, 보안 인식은 해당 직무의 요구사항이 아니다.
핵심 원칙은 변함없다: 규제된 경로를 비규제된 것보다 더 매력적으로 만든다.
Muller은 “AI 사용을 하나의 파이프라인으로 모두 진행하고 싶다”고 말했다. “그렇게 하면 내가 불만을 품더라도 사람들은 그림자 채널로 몰리게 되는 대신,至少 내가 볼 수 있다는 것을 알 수 있다.”
사용 사례 레지스트리 구축
ASOS에서 Sajeev는 가시성 문제를 해결하기 위해 사용 사례 레지스트리를 도입했으며, AI 에이전트를 인프라 자산으로, 소프트웨어 기능이 아닌 것으로 다루었다.
“자연스럽게 이렇게 변환됩니다: 이 에이전트는 특정 사용 사례를 위해 만들어졌고, 그 뒤에 있는 인간 신원은 이 agente에 있다,” she said.
이 레지스트리는 단순히 인벤토리가 아니다. 책임이 추적 가능하게 만들어준다 — 문제가 발생하면 문제의 근원을 사람과 목적으로 거슬러 올라갈 수 있다.
또한 사건이 발생하기 전까지 숨겨져 있던 데이터 문제를 드러낸다.
“당신의 데이터 인프라가 매우 성숙한 수준에 있어야 에이전트 또는 AI 기능이 제대로 작동한다.”
역량 강화 투자
Jamf에서 Villatoro는 제한보다 역량을 강조하는 접근법을 채택했으며, 직원들에게 적절한 도구, 교육, 허용 사용 정책을 제공해 스스로 해결책을 찾게 하기 전에 사전에 준비시켰다.
“역량 강화에 집중한다면, 코드가 여기저기 퍼지는 것을 방지하는 것이 훨씬 쉬워집니다,” 라고 말했다.
해결해야 할 문제들
AI 에이전트가 예상치 못하게 행동하는 경우
Muller은 예상치 못한 AI 행동을 문제가 되기 전에 관찰하고 제어해야 한다고 주장한다.
“Claude Code가 어떤 것을 접근할 수 없다는 것을 깨닫는다면, 그 자체를 악성코드로 만들어 인증 정보를 탈취하려는 시나리오가 존재합니다,” Muller은 말했다.
정책으로 ‘Claude Code를 사용하지 말라’는 대신, 기술적 제어를 강화해 인증 정보를 직접 탈취할 수 있도록 하는 것이 더 가치 있다고 생각한다.
권한 격차
Muller은 “클로드와 Gmail 연결을 허용할 수 있다”고 말한다. 하지만 나는 ‘보조자가 특정 라벨이 붙은 이메일만 읽도록 허용하고 나머지는 제한한다’는 식으로 표현하고 싶다. 오늘은 그럴 수 없다.
Sajeev는 기존 보안 프레임워크에 더 깊은 격차가 있음을 지적했다.