로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
982
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 142 페이지
바이두, 새로운 AI 모델이 GPT-5를 능가한다고 주장
바이두, 새로운 AI 모델이 GPT-5를 능가한다고 주장
(퍼플렉시티가정리한기사)바이두는11월11일ERNIE-4.5-VL-28B-A3B-Thinking을공개했다.이는오픈소스멀티모달AI모델로,중국기술대기업은이모델이여러벤치마크에서OpenAI의GPT-5와구글의Gemini2.5Pro를능가한다고주장한다.이번출시는중국과서구기술기업간격화되는인공지능경쟁에서중요한확대를의미한다.​허용적인Apache2.0라이선스로공개된이모델은총280억개의파라미터를가진전문가혼합(Mixture-of-Experts)아키텍처를사용하지만,추론당30억개만활성화하여높은성능을유지하면서도계산비용을획기적으로줄인다.바이두의발표에따르면,이모델은문서및차트이해분야의VQA,MMBench,SEED-Bench평가에서Gemini2.5Pro를능가한다.​효율성과성능의만남경량설계를통해ERNIE-4.5-VL은비슷한수준의전체매개변수모델보다2~3배빠른추론속도를제공하면서도훨씬적은메모리를요구합니다.이모델은이미지의특정영역을확대하고,잘라낸뷰를분석하며,국소적관찰을종합적인답변으로통합할수있는혁신적인"이미지를통한사고(ThinkingwithImages)"기능을도입했습니다.​바이두연구진은동적난이도샘플링을적용한GSPO및IcePop을포함한고급강화학습전략을활용하여대규모시각-언어추론데이터에대한광범위한중간학습단계를통해이모델을훈련했습니다.이모델은시각적추론,STEM문제해결,시각적그라운딩,도구활용및비디오이해분야에서뛰어난성능을발휘합니다.​전략적오픈소스추진이번출시는중국이미국기업들과경쟁하기위해오픈소스AI전략을강화하는가운데이루어졌습니다.최근분석에따르면,중국은오픈소스AI다운로드에서미국을앞질렀으며,DeepSeek,Alibaba,Baidu같은기업들이서구경쟁사들보다더빠르고저렴하게고성능모델을생산할수있음을입증하고있습니다.​남가주대학교(UniversityofSouthernCalifornia)의SeanRen은CNBC에"주요연구소가강력한모델을오픈소스로공개할때마다업계전체의기준이높아진다"고말했습니다.이러한움직임은독점API와프리미엄가격에의존하는OpenAI와Anthropic같은비공개소스제공업체들에압박을가하고있습니다.​Baidu는11월13일베이징에서열리는BaiduWorld2025컨퍼런스에서ERNIE라인업과추가AI발전사항을선보일예정입니다.이는중국의경쟁적인AI환경에서선두주자로서의입지를굳히기위한노력의일환입니다.
1571
0
2025.11.12
막스플랑크 기상연구소, 1km 해상도 지구 디지털 트윈 구축
막스플랑크 기상연구소, 1km 해상도 지구 디지털 트윈 구축
(퍼플렉시티가정리한기사)막스플랑크기상연구소의연구자들은기후과학자들이그들의분야에서"성배"라고부르는것을달성했습니다:기상예보와기후모델링을완벽하게결합한1.25킬로미터해상도의지구디지털트윈입니다.​11월3일arXiv에제출된논문에자세히설명된이획기적인성과는거의킬로미터규모에서전체지구시스템의최초전지구시뮬레이션을나타내며,대기,해양,육지를통한에너지,물,탄소의흐름을포착합니다.DanielKlocke가이끄는팀은6억7천2백만개의셀을모델링했습니다—지구의육지와해양표면을덮는3억3천6백만개의셀과그위에쌓인동일한수의대기셀입니다.​전례없는컴퓨팅파워이시뮬레이션은유럽에서가장강력한두슈퍼컴퓨터에걸쳐방대한컴퓨팅리소스를필요로했습니다:스위스의Alps시스템에서8,192개의GPU와독일의JUPITER에서20,480개의GPU를사용했습니다.두시스템모두Nvidia의새로운GH200GraceHopper슈퍼칩을활용하며,이는GPU와CPU기능을결합하여모델의다양한측면을처리합니다.​연구팀은하루당145.7일의시뮬레이션을수행하는시간압축을달성했으며,거의1조개의자유도(모델이계산해야하는값의총개수)를사용했습니다.이러한성능은유사한해상도의이전대기전용시뮬레이션을능가하며,지구시스템상호작용에대한장기연구를가능하게합니다.​해상도장벽돌파하기진정한혁신은이해상도에서"빠른"지구시스템프로세스와"느린"지구시스템프로세스를결합하는데있습니다.빠른시스템에는날씨를지배하는에너지및물순환이포함되며,폭풍이개별격자셀을가로질러이동함에따라몇분마다업데이트됩니다.느린프로세스에는탄소순환,생물권변화,그리고수년또는수십년에걸쳐진화하는해양지구화학이포함됩니다.​UniverseToday에따르면,이러한복잡한시스템을통합하는일반적인모델은40킬로미터를초과하는해상도에서만계산적으로처리가능했습니다.돌파구는수십년된Fortran코드베이스를현대화한Data-CentricParallelProgramming프레임워크를사용한정교한소프트웨어엔지니어링을통해이루어졌습니다.​이연구로팀은11월18일슈퍼컴퓨팅컨퍼런스에서발표될예정인권위있는GordonBellPrizeforClimateModelling후보로지명되었습니다.
1457
0
2025.11.12
폭스콘, 다음 주 OpenAI 파트너십 세부사항 발표 예정
폭스콘, 다음 주 OpenAI 파트너십 세부사항 발표 예정
(퍼플렉시티가정리한기사)대만의전자제품대기업폭스콘은수요일3분기실적발표에서인공지능수요에대한낙관적인전망을시사하며,다음주OpenAI협력에대한세부사항을공개할계획을밝혔고AI가2026년가장중요한성장동력이될것으로전망했다.세계최대전자제품위탁제조업체는7-9월기간동안순이익576억7천만대만달러(18억9천만달러)를기록했으며,이는전년대비17%증가한수치로애널리스트예상치인504억대만달러를상회했다.매출은11%증가한2조6백억대만달러를기록했으며,이는클라우드제공업체들이데이터센터인프라에수십억달러를쏟아붓는가운데AI서버에대한수요가급증한데따른것이다.​AI서버가아이폰을제치고매출선두로부상AI서버생산을포함하는폭스콘의클라우드및네트워킹부문은현재전체매출의42%를차지하며,AppleiPhone조립을포함하는스마트소비자전자제품부문을2분기연속앞지르고있습니다.이는소비자전자제품이폭스콘매출의54%를차지했던2021년과비교하면극적인변화를나타냅니다.​류영웨이(YoungLiu)회장은실적발표에서투자자들에게"2026년에는AI산업의발전이가장중요한성장동력이될것으로보고있습니다"라고말했습니다.그는"2026년에대해매우낙관적입니다"라고덧붙이면서도,회사가지정학적불확실성과외환변동성을모니터링할것이라고언급했습니다.​실적보고서에서폭스콘은4분기에전년대비상당한매출성장을전망했으며,AI서버매출은전분기대비증가할것으로예상했습니다.Nvidia의최대서버제조업체인이회사는Microsoft,Amazon,Alphabet의Google을포함한거대기술기업들의AI인프라에대한전례없는투자로이익을얻고있습니다.​OpenAI파트너십세부사항다음주공개예정Liu는Foxconn이다음주타이페이에서연례기술의날행사를개최할예정이며,이자리에서OpenAI와의협력에대한세부사항을발표할계획이라고밝혔다.OpenAICEOSamAltman은10월에대만을방문하여Foxconn및TaiwanSemiconductorManufacturingCompany와만나회사의Stargate프로젝트를위한AI서버인프라및칩생산에대해논의했다.​이번예고된발표는Foxconn이2002년그래픽카드용레퍼런스디자인제작을시작한이래이어온Nvidia와의기존관계를넘어AI파트너십을심화하고있음을시사한다.Foxconn은현재범용서버와AI서버모두에서전세계시장점유율약40%를차지하고있다고주장한다.
1458
0
2025.11.12
서울대도 AI 부정행위 적발, 대면시험서도 발생
서울대도 AI 부정행위 적발, 대면시험서도 발생
(퍼플렉시티가정리한기사)연세대와고려대에이어서울대에서도인공지능(AI)을이용한시험부정행위가적발되며대학가전반에논란이확산하고있다.이번사태는온라인시험뿐아니라대면시험에서도AI부정행위가발생하고있음을보여주며,명문대학들이AI시대에맞는교육평가시스템마련에속수무책인상황을드러냈다.대면시험도예외없어12일서울대에따르면지난달치러진교양과목'통계학실험'중간고사에서일부학생이AI를활용해문제를푼정황이적발됐다.이강의는서울대자연대에서개설한교양과목으로약30명이수강하는대면강의다.중간고사도강의실에비치된컴퓨터를이용한대면방식으로치러졌다.​학교측은시험전AI활용을금지한다고공지했지만,조교가채점중AI사용정황을발견했다.서울대관계자는"자진신고한학생이두명있었다"며"집단적부정행위정황은발견되지않았고개인적일탈로판단하고있다"고밝혔다.서울대는해당분반의중간고사성적을무효화하고재시험을실시하기로결정했다.​앞서연세대'자연어처리와챗GPT'수업에서는600명중190명이상이비대면시험에서부정행위를한것으로알려졌다.고려대'고령사회에대한다학제적이해'과목에서도학생들이카카오톡오픈채팅방을통해답안을공유해시험이전면무효화됐다.​구조적문제지적전문가들은이번사태가개인의윤리문제를넘어구조적문제라고지적한다.대학정보공시에따르면연세대의비대면강의는2022년2학기34개에서2024년2학기321개로급증했다.한국직업능력연구원조사결과대학생의91.7%가과제나자료검색에AI를활용한다고답했지만,한국대학교육협의회에따르면전국131개대학중AI가이드라인을마련한곳은30곳(22.9%)에불과하다.​김명주바른AI센터장은"대면시험에서도부정행위가발생한것은교수들이AI의영향력을제대로인식하지못한결과일수있다"고분석했다.학생들사이에서는"정직하게시험을치른학생만손해"라는인식이확산하고있다.​가이드라인마련시급각대학은뒤늦게대책마련에나섰다.서울대는오는21일'챗GPT로숙제해도될까요'라는주제로학부생대상워크숍을개최할예정이다.연세대도조만간AI활용과윤리를주제로긴급공청회를열기로했다.유재준서울대자연대학장은"단순히정답을맞히는기존시험평가방식에서벗어나는근본적인전환이필요한시점"이라고말했다.
1543
0
2025.11.12
회원가입
아이디/비밀번호 찾기