로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
927
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 136 페이지
OpenAI, 2천만 건의 ChatGPT 로그 공개 명령 철회 요청
OpenAI, 2천만 건의 ChatGPT 로그 공개 명령 철회 요청
(퍼플렉시티가정리한기사)OpenAI는수요일연방판사에게2천만건의익명화된ChatGPT대화로그를뉴욕타임스에제출하도록요구하는명령을번복해달라고요청하며,이러한공개가사용자프라이버시를침해하고AI소송에"위험한선례"를남길것이라고주장했습니다.이러한움직임은신문사와다른언론사들이제기한저작권침해소송에서대화기록을제출해야하는금요일마감일을앞두고나온것입니다.​OpenAI가지지를호소하는공개성명에서강조하지않은것은OnaWang치안판사가이미11월7일OpenAI에불리한판결을내렸으며,OpenAI가로그를제출하는것이"적절하다"고판단했다는점입니다.판사는기존보호명령과OpenAI의"철저한비식별화"프로세스를통해사용자프라이버시가충분히보호된다고판단했습니다.​프라이버시주장이증거개시명령과충돌하다수요일에게시된블로그포스트에서OpenAI의최고정보보안책임자인DaneStuckey는뉴욕타임스가"사용자프라이버시침해"를요구하고있다고비난하며,이신문사가"타임스의근거없는소송과아무런관련이없는"사람들의대화를요구하고있다고주장했다.회사는요청된대화기록의"99.99%"가저작권주장과무관하다고주장했다.​2천만건의대화는2022년12월부터2024년11월까지의무작위샘플을나타낸다.OpenAI는뉴욕타임스콘텐츠가포함된채팅만식별하기위한타겟검색을포함한프라이버시보호대안을제안했지만,이러한제안은거부되었다.​저작권분쟁의중심에있는훈련데이터뉴욕타임스는2023년12월OpenAI와을상대로소송을제기했으며,이들기업이ChatGPT훈련을위해허가나보상없이"수백만건"의기사를사용하여저작권을침해했다고주장했습니다.이신문사는ChatGPT가자사콘텐츠를어떻게재생산하는지분석하고,OpenAI가증거를조작하기위해챗봇을"해킹"했다는주장에반박하기위해로그에대한접근이필요하다고주장합니다.​Wang판사는이전에2025년5월OpenAI가모든채팅로그를보존하도록요구하는보존명령을내렸으나,해당명령은9월에부분적으로해제되었습니다.2천만건의로그제출을둘러싼현재의분쟁은증거개시절차에서의갈등이심화되고있음을보여줍니다.​OpenAI는이요청이합리적인증거개시범위를초과한다고주장하며,"이규모의개인정보를전면적으로제출하도록명령한법원을알지못한다"고언급했습니다.이사건은훈련용저작권자료의오용혐의로AI기업들을상대로제기된수많은소송중하나이며,잠재적손해배상액은수십억달러에달합니다.
1460
0
2025.11.13
OpenAI의 Sora 2 저작권 필터가 쉽게 우회
OpenAI의 Sora 2 저작권 필터가 쉽게 우회 1
(퍼플렉시티가정리한기사)OpenAI의Sora2비디오생성기에서저작권침해를방지하려는시도가실패하고있으며,사용자들이이름철자를틀리게쓰거나대체설명을사용하는등의간단한우회방법을통해콘텐츠필터를쉽게우회하고있다고최근테스트및옹호단체들의경고에따르면밝혀졌다.9월30일에출시된이비디오생성도구는비평가들이"저작권침해기계"라고부르는것이되었으며,닌텐도캐릭터,저작권이있는만화,그리고실제인물의무단딥페이크비디오를생성하고있다.OpenAI가출시며칠만에옵트아웃방식에서옵트인저작권정책으로전환했음에도불구하고,404Media의테스트결과보호장치는여전히우회하기쉬운것으로나타났다.​간단한트릭으로콘텐츠필터우회하기404Media가보호된콘텐츠의영상을생성하려고시도했을때,Sora2는"AnimalCrossinggameplay"와같은프롬프트를차단했다.그러나이도구는"Titlescreenandgameplayofthegamecalled'crossingaminal'2017"이라는프롬프트를입력받았을때닌텐도게임의정확한재현물을생성했다.유사한우회방법이Fox의"AmericanDad"에서는모호한캐릭터설명을사용하여,그리고Twitch스트리머HasanPiker의경우그의이름을"pikersahan"으로뒤집어성공했다.​r/SoraAI서브레딧의사용자들은필터를우회하는데사용된프롬프트와함께"탈옥"방법을정기적으로공유한다.플랫폼의알고리즘은사망한유명인들의수많은클립을포함하여자체정책을위반할가능성이있는영상을계속해서제공하고있다.​국제적반발이심화되다일본콘텐츠해외배포협회는10월27일에스튜디오지브리,반다이남코,스퀘어에닉스를대표하여OpenAI에게회원사의콘텐츠를허가없이학습에사용하는것을중단할것을공식적으로요청했습니다.일본정부또한OpenAI에게"저작권침해가될수있는행위"를삼가달라고요청했습니다.​CODA는서신에서"일본의저작권제도에서는저작물사용에대해원칙적으로사전허가가필요하며,사후이의를통해저작권침해책임을회피할수있는제도는없다"고밝혔습니다.​소비자감시단체인PublicCitizen은11월11일자서신에서Sora2가안전과민주주의에대해"무모한무시"를보여주고있다고경고했습니다.이단체는연구진이출시24시간내에비인가방지장치를우회했으며,"의무적"워터마크도무료온라인도구로4분이내에제거될수있다고지적했습니다.​OpenAICEO샘알트먼은"통과되어서는안되는생성물이몇몇간극에서나타날수있다"고인정하며,이문제의어려움을언급했습니다.회사측은"스튜디오및권리보유자들과직접적으로소통하고있다"고밝혔으나,근본적인문제—Sora2의학습데이터에이미포함된저작권보호콘텐츠를비용이많이드는재학습없이제거할수없는점—에대해서는구체적인해결방안을제시하지않았습니다.
1602
0
2025.11.13
Nvidia가 기록적인 훈련 시간으로 AI 벤치마크를 석권하다
Nvidia가 기록적인 훈련 시간으로 AI 벤치마크를 석권하다
(퍼플렉시티가정리한기사)NVIDIA는화요일에발표된MLPerfTrainingv5.1벤치마크에서완전한석권을달성하여7개테스트모두에서가장빠른훈련시간을기록했으며,모든카테고리에서결과를제출한유일한플랫폼이되었습니다.이회사는5,120개의BlackwellGPU를사용하여Meta의Llama3.1405B모델을단10분만에훈련시켜새로운업계기록을세웠으며,이는이전최고기록보다2.7배빠른속도입니다.​11월12일MLCommons에서발표한이번결과는MLPerfTraining역사상어떤회사도4비트FP4정밀도를사용한첫번째사례로,이획기적인기술은동일한수의GPU에서이전세대Hopper아키텍처보다최대4배의성능을제공했습니다.NVIDIA의독점NVFP4포맷은엄격한정확도요구사항을유지하면서8비트FP8보다3배빠른속도로계산을가능하게합니다.​블랙웰울트라데뷔하다BlackwellUltra기반GB300NVL72랙규모시스템이이번라운드에서MLPerfTraining에처음등장했으며,표준BlackwellGPU보다1.5배높은NVFP4처리량과어텐션레이어를위한2배의softmax가속을제공하는향상된TensorCore를특징으로합니다.이시스템은GPU당279GB의HBM3e메모리를탑재하고NVIDIAQuantum-X800InfiniBand를통해업계최초의800Gb/s네트워킹플랫폼으로연결됩니다.​NVIDIA는또한새로도입된두가지벤치마크인Llama3.18B와FLUX.1이미지생성에서성능기록을세웠습니다.이회사는512개의BlackwellUltraGPU를사용하여5.2분만에Llama3.18B를학습시켰으며,FLUX.1에대한결과를제출한유일한플랫폼으로서1,152개의BlackwellGPU로12.5분의학습시간을달성했습니다.​다양한경쟁분야MLPerfTrainingv5.1라운드에는20개조직이참여하여12개의서로다른하드웨어가속기를탑재한65개의고유한시스템을제출했습니다.AMD는새로운InstinctMI355X및MI350XGPU를선보였으며,AMD는단일노드접근성을위해설계된새로운Llama3.18B벤치마크개발을주도했습니다.AMD에따르면,MI355XGPU성능은Llama3.18B테스트에서NVIDIA의Blackwell플랫폼대비5-6%이내의차이를보였습니다.​전체제출물의거의절반이멀티노드구성이었으며,이는전년도라운드대비86%증가한수치입니다.Datacrunch,UniversityofFlorida,Wiwynn이처음으로참여했으며,Dell,HPE,Lenovo와같은기존참가자들도함께했습니다.​벤치마크업데이트에서는레거시테스트를최신AI워크로드로대체했습니다:언어모델의경우BERT를Llama3.18B로,이미지생성의경우StableDiffusionv2를FLUX.1로교체했습니다.
1476
0
2025.11.13
Red Hat, AI 및 양자 보안 기능을 갖춘 Linux 업데이트 출시
Red Hat, AI 및 양자 보안 기능을 갖춘 Linux 업데이트 출시
(퍼플렉시티가정리한기사)RedHat은11월12일RedHatEnterpriseLinux10.1과9.7의일반출시를발표했으며,AI기반기능을오프라인환경에서제공하고미래의양자컴퓨팅위협에대한보호를강화했습니다.이릴리스는조직들이인공지능워크로드를배포해야하는압박이커지는가운데,양자컴퓨터가악용할수있는암호취약점에대비해야하는상황에서출시되었습니다.​가장기대되는기능은RHEL명령줄어시스턴트의오프라인버전으로,이제RedHatSatellite가입자를위해개발자프리뷰로제공됩니다.이도구는로컬에서컨테이너세트로실행되며,완전히분리된또는에어갭환경에서도외부네트워크연결없이리눅스작업에대한AI기반안내를제공합니다.RedHat의블로그에서GilCattelain에따르면“RHEL명령줄어시스턴트의오프라인버전이언제제공될것인가?”는올해초RedHatSummit에서반복적으로제기된질문이었습니다.​이번업데이트는RedHat저장소를통해AdvancedMicroDevices,Intel,Nvidia칩용으로검증된드라이버를제공함으로써AI가속기배포를간소화합니다.새로운rhel-drivers명령은데이터센터AI가속기하드웨어를자동으로감지하여최신드라이버를설치하며,수동으로호환성을확인할필요가없습니다.RedHat의하이브리드플랫폼시장인사이트수석이사StuMiniman에따르면검증된드라이버는하드웨어파트너와광범위한테스트를거친뒤RHEL확장및보조저장소에서제공됩니다.​양자위협에대비하기두릴리스모두양자후암호화기능을확장하여"지금수집하고나중에해독"공격에대응합니다.이는적대자들이오늘날암호화된데이터를수집하여양자컴퓨터가충분히강력해지면해독하는공격입니다.RHEL9.7은모듈격자기반키캡슐화메커니즘(ML-KEM)및모듈격자기반디지털서명알고리즘(ML-DSA)을포함한양자후알고리즘을통합하며,이는미국국립표준기술연구소(NIST)가2024년8월에표준화했습니다.RHEL10.1은전송중인데이터를위한전송계층보안에서양자후암호화에대한향상된지원을추가합니다.​RedHat은"RHEL9.7은RHEL의이전안정릴리스에제한적인양자후암호화기능을제공하여"조직이RHEL10으로전환하기전에기존환경에서실험할수있도록한다고밝혔습니다.알고리즘은통제된테스트를가능하게하면서중단을방지하기위해옵트인방식으로유지됩니다.​RedHat이후원한IDC연구에따르면,IT인프라팀은무료오픈소스대안에비해RedHat솔루션을사용할때32%더효율적이며,개발팀은20%의생산성향상을경험합니다.RHEL10.1은또한이미지모드에서소프트재부팅을도입하여관리자가전체커널재시작없이시스템상태를변경할수있도록하여서비스중단을최소화하면서더빠른업데이트를가능하게합니다.
1461
0
2025.11.13
회원가입
아이디/비밀번호 찾기