로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
763
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 126 페이지
애플은 앱들이 AI 데이터 공유를 공개하도록 요구
애플은 앱들이 AI 데이터 공유를 공개하도록 요구
(퍼플렉시티가정리한기사)애플은목요일앱스토어정책을개정하여앱이개인데이터를제3자AI제공업체와공유하기전에이를공개하고사용자허가를받도록명시적으로요구했으며,이는회사의개인정보보호준수규정에서AI기업을직접언급한첫번째사례입니다.​가이드라인5.1.2(i)의업데이트는이제개발자가"제3자AI를포함한제3자와개인데이터가공유될위치를명확히공개하고그렇게하기전에명시적허가를받아야한다"고명시합니다."제3자AI를포함한"이라는문구의추가는EU의GDPR및캘리포니아소비자프라이버시법과같은규정에따른일반적인데이터공유요구사항을다루되AI제공업체를특별히지목하지않았던애플의이전접근방식과는다른방향입니다.​Siri개편을앞둔전략적타이밍이정책변경은Apple이2026년봄에AI로업그레이드된Siri를출시할준비를하면서이루어지는것으로,이를통해사용자들은음성명령을통해앱간작업을수행할수있게됩니다.Bloomberg에따르면,업데이트된어시스턴트는부분적으로Google의Gemini기술로구동될예정이며,Apple은이모델에대한접근권을위해연간약10억달러를지불하는것으로알려졌습니다.​​이러한시기는Apple이자체AI역량을확장하면서경쟁애플리케이션들이개인데이터를외부AI시스템으로전송하는것을방지하려는목적을시사합니다.회사는아직AI제공업체들과계약을최종확정하지않았으며,업그레이드된Siri는2026년봄iOS26.4와함께출시될것으로예상됩니다.​​광범위한가이드라인업데이트AI공개요구사항외에도,Apple은목요일에여러추가변경사항을도입했습니다.여기에는적격미니앱거래에대해수수료율을15%로낮추는새로운미니앱파트너프로그램을지원하는규칙이포함됩니다.또한회사는최근모방앱의유입에따라개발자가승인없이다른개발자의아이콘,브랜드또는제품명을사용하는것을금지하는조항을추가했습니다.기타업데이트에는대출앱에대한최대36%APR부과및암호화폐거래소를고도로규제되는서비스로분류하는내용이포함됩니다.​Apple의"AI"정의범위는여전히광범위하여,대규모언어모델부터기본머신러닝알고리즘까지다양한기술을포괄할수있습니다.업데이트된가이드라인을준수하지않는앱은AppStore에서제거될위험이있습니다.
1418
0
2025.11.15
오픈AI, 네 개국에서 ChatGPT 그룹 채팅 시범 운영
오픈AI, 네 개국에서 ChatGPT 그룹 채팅 시범 운영
(퍼플렉시티가정리한기사)OpenAI는11월13일최대20명이ChatGPT와함께그룹대화에참여할수있는파일럿프로그램을출시하여,회사최초로공유AI경험에진출하게되었습니다.이기능은현재일본,뉴질랜드,대한민국,대만에서웹및모바일플랫폼을통해Free,Go,Plus,Pro구독플랜이용자들에게만제공되고있습니다.​이번출시로OpenAI는이미주간활성이용자8억명을보유한ChatGPT플랫폼을통해메시징과소셜미디어시장에본격적으로진입하게되었습니다."그룹채팅기능은사용자가친구,가족,동료들과함께아이디어를개발하고,결정을내리고,창의적인시도를해볼수있도록돕습니다,"라고OpenAI코리아담당자김경훈이밝혔습니다."이것은ChatGPT가타인과협업하고소통하는공유공간이되기위한첫걸음입니다."​그룹채팅의원리사용자는대화창에서사람아이콘을탭하여그룹채팅을시작할수있으며,이를통해원래대화내용을보존하는복제채팅이생성됩니다.참가자는공유가능한링크를통해그룹에참여하고,이름,사용자이름,사진으로프로필을설정할수있습니다.그룹채팅은개인대화와분리된전용사이드바구역에표시됩니다.​이기능은참가자의구독등급에따라최적의모델을자동으로선택하는GPT-5.1Auto에서실행됩니다.응답속도제한은ChatGPT의답변에만적용되며,사용자간의메시지에는적용되지않기때문에참가자들은사용량한도에걸리지않고자유롭게대화할수있습니다.오픈AI는“우리는그룹채팅에맞는새로운사회적행동을ChatGPT에게가르쳤습니다”라고밝혔습니다.“ChatGPT는대화흐름을따라가며,상황에따라언제답변하고언제침묵할지결정합니다.”사용자는"ChatGPT"라고직접언급하여답변을유도할수있습니다.​개인정보보호조치및시장전략OpenAI는그룹채팅이개인대화와분리되어있으며,그룹설정에서는ChatGPT의개인메모리가사용되거나생성되지않는다고강조했습니다.그룹에18세미만의참가자가있을경우,플랫폼은자동으로모든구성원에게민감한콘텐츠를제한합니다.부모는보호자설정을통해그룹채팅을완전히비활성화할수있습니다.​이조치는OpenAI가WhatsApp과같은서비스에서경쟁사챗봇이이미운영되고있는시장에서기존메신저플랫폼과경쟁할수있도록합니다.OpenAI는“이번파일럿은ChatGPT에서공유경험을위한작은첫걸음입니다”라고밝혔습니다.회사는초기에사용자의피드백을수집한후,이기능을더많은지역으로확장할계획입니다.
1497
0
2025.11.15
앤듀릴, HD현대와 자율 군함 협력
앤듀릴, HD현대와 자율 군함 협력
(퍼플렉시티가 정리한 기사)방위 기술 기업 안두릴 인더스트리스(Anduril Industries)는 수요일, 한국의 조선 대기업 HD현대중공업과 파트너십을 발표했다. 이는 미 해군의 모듈형 공격 수상정(Modular Attack Surface Craft) 프로그램 및 상업용 용도를 위한 자율 수상 선박 개발을 위한 것이다.이번 협력은 HD현대의 조선 전문성과 안두릴의 소프트웨어 기반 자율 기술을 결합하여 360도 가시성과 신속한 탑재 장비 재구성 능력을 갖춘 모듈형 강철 선체 선박을 생산한다. 첫 번째 프로토타입은 설계 및 시스템 통합을 검증하기 위해 한국에서 제작되고 있으며, 향후 해군 프로그램을 위한 선박들은 워싱턴주 시애틀에 있는 재가동된 구(舊) 포스 조선소(Foss Shipyard)에서 전량 미국 내에서 제조될 예정이다.해군의 MASC 프로그램 경쟁이번 파트너십은 Anduril이 해군의 MASC 프로그램 경쟁에 참여할 수 있는 입지를 확보하게 했습니다. MASC 프로그램은 이전의 대형 및 중형 무인 수상함 계획들을 단일 노력으로 통합하여 분산형 자율 함대를 구축하는 것을 목표로 합니다. 이 프로그램은 신속하게 재구성할 수 있는 컨테이너화된 탑재체를 통해 정보 수집, 감시, 타격 및 전자전 임무를 수행할 수 있는 함정을 추구합니다.Anduril의 프로그램 및 엔지니어링 수석 부사장인 Shane Arnott는 Defense One과의 인터뷰에서 “연간 수십 척의 함정을 이야기하고 있습니다…하지만 이는 현재 생산 방식으로 달성할 수 있는 것보다 한 단계 더 높은 수준입니다”라고 말했습니다. “규모가 우리가 해결하려는 문제입니다.”Anduril의 사장이자 전략 책임자인 Chris Brose는 미국 계약을 넘어선 파트너십의 잠재력을 강조했습니다. “해양 능력과 자율 전함에 대한 막대한 글로벌 수요가 있습니다”라고 그는 말하며, 상대적으로 저비용 시스템에 대한 국제적 관심을 언급했습니다.시애틀 조선소 부흥Anduril은 2021년 10월에 폐쇄된 구 Foss 조선소를 개조하기 위해 수천만 달러를 투자했습니다. 이 태평양 북서부 시설은 자율 수상 선박의 소규모 조립, 통합 및 테스트를 위한 Anduril의 최초 미국 거점이 될 것이라고 회사 측은 밝혔습니다.회사는 제조 파트너인 Hadrian을 선정하여 자동화 및 정밀 제작 역량을 제공받기로 했으며, 관계자들은 Hadrian이 “첫날부터 생산성을 위한 설계에 참여해왔다”고 언급했습니다.이번 발표는 두 회사 간의 기존 파트너십을 기반으로 합니다. HD현대와 Anduril은 2025년 8월 선박 자율 기술과 해군 함정 설계 역량을 교환하고 한국과 미국 시장 모두를 위한 무인 수상 선박 시제품을 개발할 계획으로 양해각서를 체결했습니다.HD현대는 세계 최대 조선업체 중 하나이며 Huntington Ingalls Industries 및 Siemens와의 계약을 포함하여 미국 방위산업체들과의 파트너십을 확대해왔습니다.
1521
0
2025.11.14
KAI와 삼성전자, 국방 AI 반도체 공동개발 협력
KAI와 삼성전자, 국방 AI 반도체 공동개발 협력
(퍼플렉시티가 정리한 기사)한국항공우주산업(KAI)와 삼성전자가 국방 및 무인기용 AI 반도체 개발을 위한 전략적 협력에 나섰다. 14일 경남 사천 KAI 본사에서 양사는 ‘항공우주산업과 방위산업 적용을 위한 AI 및 무선주파수(RF)용 국방 반도체 개발 및 생산’을 위한 상호협력 업무협약(MOU)을 체결했다고 밝혔다.무기체계 반도체 국산화율 제고 목표이번 협약은 현재 98.9%에 달하는 방산 반도체의 해외 의존도를 낮추기 위한 노력의 일환이다. 특히 AI 반도체의 경우 국산화율이 0%에 그치고 있어, 무인화가 가속화되는 현대 전장 환경에서 K-방산 경쟁력 확보를 위한 기술 자립이 시급한 상황이다.양사는 워킹그룹 및 협의체 운용, 연구개발(R&D) 공동 연구, 안정적인 공급망 확보 등을 통해 항공우주·방위 산업 맞춤형 국방 AI 반도체 개발에 협력할 예정이다. 높은 신뢰성과 보안성이 요구되는 방산 특성에 맞는 반도체 설계와 방산 품질 및 감항 등을 고려한 연구 개발을 추진하며, 단계적으로 협력 범위를 확대할 계획이다.유무인 복합체계 고도화 추진KAI는 개발될 국방 AI 반도체를 AI파일럿 ‘K-AILOT’을 탑재한 자율 제어 시스템(ACS)에 활용해 유무인 복합체계를 고도화할 방침이다. 이를 통해 T-50, FA-50, 수리온 등 검증된 유인기 플랫폼에 AI 기반 자율 기능을 접목해 글로벌 시장에서 차별화된 경쟁력을 확보한다는 전략이다.차재병 KAI 대표는 “다양한 국산 항공기 플랫폼을 개발한 KAI와 글로벌 반도체 선도 기업인 삼성전자 간의 전략적 협력은 방산 분야 온디바이스 AI반도체 개발의 핵심이 될 것”이라며 “국방 AI 반도체 개발을 완수해 대한민국 방위산업과 소버린 AI 경쟁력을 더욱 향상시키겠다”고 밝혔다.한진만 삼성전자 파운드리사업부 사장은 “이번 협약은 국방 AI 반도체 국산화와 함께 국내 반도체 생태계 전반을 강화하는 계기가 될 것”이라며 “삼성전자는 차별화된 공정 역량과 에코시스템(SAFE™)을 기반으로 설계–공정–양산 전 단계에 걸친 통합 기술을 제공하겠다”고 강조했다.
1543
0
2025.11.14
회원가입
아이디/비밀번호 찾기