연구진은 'vibe coding'으로 불리는 프로그래밍 방식이 취약한 코드 묶음을 배포한다고 경고했습니다. 연구팀은 웹상의 43,000개가 넘는 보안 권고문을 스캔한 결과, 생성형 인공지능(AI) 도구가 불안전한 코드를 만드는 데 도움을 준 사례를 다수 발견했습니다. Vibe coding은 Claude, Gemini, GitHub Copilot 같은 도구를 활용합니다.
Vibe Security Radar는 조지아공대(Georgia Tech) 산하 Systems Software & Security Lab(SSLab)이 개발했습니다. 레이더는 공개 취약점 데이터베이스를 스캔해 각 취약점의 오류를 찾아내고 코드 이력을 분석해 누가 버그를 도입했는지 확인합니다. AI 도구의 서명이 발견되면 해당 사례를 표시합니다. 지금까지 도구는 74건을 확인했으며, 그중 14건은 치명적, 25건은 높음으로 분류되었습니다. 확인된 취약점에는 명령어 주입, 인증 우회, 서버 측 요청 위조 등이 포함됩니다.
레이더는 공동 저자 태그나 봇 이메일 같은 메타데이터를 추적하지만, 이런 표식이 제거되면 탐지가 어려워집니다. 연구진은 변수명·함수 구조·오류 처리 방식에서 나타나는 일정한 패턴을 이용한 행동 기반 탐지로 전환하는 작업을 진행 중이며, 검증 파이프라인을 개선하고 취약점 출처를 확대해 더 완전한 그림을 얻으려 합니다. 연구를 이끈 한칭 자오는 같은 모델을 사용하는 많은 개발자가 같은 버그를 다양한 프로젝트에서 보게 된다고 지적했습니다.
AI 에이전트의 보편화로 공격 표면이 커지고 있다는 점도 경고했습니다. 레이더는 2025년 하반기 7개월 동안 약 18건을 찾았고, 2026년 첫 3개월에는 56건을 발견했다고 보고했습니다. 특히 2026년 3월 한 달에만 35건이 확인되어 2025년 전체를 넘었습니다. SSLab은 AI에 더 상세한 프롬프트를 제공하고 생성된 코드를 취약점 검사 도구로 확인할 것을 권장하며, 검증 없이 배포하면 설계상 결함으로 이어질 수 있다고 경고합니다.
- 메타데이터 추적: 공동 저자 태그, 봇 이메일 등
- 행동 기반 탐지: 변수명·함수 구조·오류 처리 패턴
- 권고사항: 상세 프롬프트와 취약점 검사 도구 사용
어려운 단어·표현
- 취약점 — 시스템이나 프로그램에서 보안상 약한 부분
- 생성형 인공지능 — 새로운 텍스트나 코드를 생성하는 인공지능 기술
- 메타데이터 — 데이터를 설명하거나 부가 정보로 붙는 자료메타데이터를
- 행동 기반 탐지 — 프로그램 행동과 패턴으로 위협을 찾는 방법
- 프롬프트 — 인공지능에 요청을 전달하는 입력 문장프롬프트를
- 명령어 주입 — 외부 입력으로 시스템 명령을 실행하게 하는 공격
팁: 글에서 강조된 단어에 마우스를 올리거나 포커스/탭하면, 읽거나 들으면서 바로 간단한 뜻을 볼 수 있습니다.
토론 질문
- AI 에이전트의 보편화 때문에 공격 표면이 커졌다는 연구진의 경고에 대해 당신의 생각은 무엇인가요? 구체적 이유를 들어 설명하세요.
- 개발자가 AI 도구를 사용할 때 속도와 보안을 어떻게 균형 있게 관리할 수 있을까요? 실제로 해볼 수 있는 방법을 제안하세요.
- 메타데이터 기반 탐지가 무력화될 때 행동 기반 탐지가 어떤 장점과 한계를 가질지 논의해 보세요.
