로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
1,038
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 165 페이지
네이버, 통합 AI 에이전트 '에이전트N' 공개
네이버, 통합 AI 에이전트 '에이전트N' 공개
(퍼플렉시티가정리한기사)네이버가6일서울코엑스에서개최된'단25(DAN25)'콘퍼런스를통해통합AI에이전트'에이전트N'을공개하며소비자서비스부터제조업까지아우르는AI전환전략을발표했다.검색과쇼핑을넘어AI기업으로의전면도약을선언한이번발표는국내AI산업지형에큰변화를예고하고있다.​최수연네이버대표는기조연설에서"지난1년간독자적기술력으로검색,쇼핑,로컬,금융등주요서비스에AI를접목한결과,사용자만족도가증가하고매출성장을견인하는등긍정적인시그널을얻었다"며"그동안의경험과기술력을바탕으로주요서비스에순차적으로고도화된에이전트를본격도입한다"고밝혔다.​내년상반기AI에이전트본격출시네이버는내년1분기AI쇼핑서비스'네이버플러스스토어'에쇼핑에이전트를먼저출시하고,2분기에는통합검색에AI에이전트를적용한'AI탭'을선보일계획이라고발표했다.​'에이전트N'의핵심은사용자가검색어를고민할필요없이자연스러운대화만으로원하는콘텐츠,상품,서비스에연결되고실제구매나예약까지완료할수있다는점이다.김범준네이버최고운영책임자(COO)는"다양한유형의메타데이터를확보할수있는네이버만의장점을살려실제구매자와예약자만남길수있는리뷰,판매자와직접연결된재고데이터등신뢰도높은데이터인프라를구축했다"고설명했다.​이와함께네이버는비즈니스통합에이전트'에이전트N포비즈니스'도내년부터순차공개할예정이다.이종민광고사업부문장은"분산되어있던사업자솔루션과데이터를하나의비즈니스허브로통합해사업자가AI를기반으로비즈니스환경을분석하고현황을손쉽게진단,개선하는데도움을줄것"이라고말했다.​1조원GPU투자로제조업AI전환주도네이버는AI인프라구축을위해2026년까지GPU에만1조원이상을투자할계획을밝혔다.이는올해3분기영업이익5706억원을훨씬웃도는규모로,네이버의AI사업에대한강한의지를보여준다.​특히네이버클라우드는'소버린AI2.0'전략을통해반도체,자동차,조선등한국핵심제조산업의AI전환을이끌겠다고발표했다.김유원네이버클라우드대표는"네이버는자국의언어,데이터,산업구조를가장깊이이해하는기업으로서산업별버티컬AI모델을구축해가고있다"며"조선,에너지,바이오등주요산업기업들과협력해제조전과정의AI활용을고도화하고,이기술을사우디아라비아,태국,일본등글로벌시장으로확산하겠다"고말했다.​최수연대표는"반도체,자동차,조선등한국제조핵심산업의탄탄한경쟁력위에네이버가갖춘독보적인AI소프트웨어역량을더해대한민국산업전반의AI전환과혁신을가속화할것"이라며"풀스택AI기술역량을바탕으로대한민국이AI3대강국으로도약하는데기여하겠다"고강조했다.​이번발표는네이버가3분기사상최대실적(매출3조1381억원,영업이익5706억원)을기록한가운데나온것으로,탄탄한재무기반을바탕으로한공격적AI투자전략으로평가된다.
1601
0
2025.11.06
Google Gemini가 Gmail, Drive, Chat 개인데이터에 접근 가능
Google Gemini가 Gmail, Drive, Chat 개인데이터에 접근 가…
(퍼플렉시티가정리한기사)Google는화요일에GeminiDeepResearch도구가이제Gmail,GoogleDrive및GoogleChat의개인데이터에접근하고분석할수있다고발표했으며,이는AI어시스턴트의업무기능이크게확장되었음을의미합니다.​Google이"가장많이요청된기능중하나"라고설명한이번통합은사용자가내부업무컨텍스트를웹데이터와결합하여포괄적인리서치보고서를작성할수있게합니다.사용자는이제이메일,문서,스프레드시트,프레젠테이션,PDF,채팅대화의정보를외부소스와함께종합하여시장분석및경쟁인텔리전스와같은작업을수행할수있습니다.​기업사용자를위한향상된연구기능이기능은전문가들이개인작업자원과공개데이터를병합하여더욱철저한분석을수행할수있도록합니다.구글의발표에따르면,팀들은이제"딥리서치가팀의초기브레인스토밍문서,관련이메일스레드,프로젝트계획을분석하여신제품에대한시장분석을시작할수있습니다".이와마찬가지로사용자들은공개웹데이터와내부전략,비교스프레드시트,팀논의를교차참조하여경쟁자보고서를작성할수있습니다.​이통합기능은Gemini의도구메뉴에서DeepResearch를선택하여액세스할수있으며,사용자는Gmail,Drive,Chat또는웹검색중에서원본옵션을선택할수있습니다.이기능은현재데스크톱플랫폼의모든Gemini사용자에게제공되고있으며,모바일접근은"향후며칠내에"제공될예정입니다.​경쟁적인AI환경이심화되고있다이발표는주요기술기업들이AI어시스턴트를직장데이터와통합하기위해경쟁하고있는가운데나왔습니다.마이크로소프트는최근Copilot에비슷한기능을도입하여WindowsInsider를위한커넥터를통해Gmail과Google서비스를사용할수있도록했습니다.OpenAI또한ChatGPT의작업공간통합기능을확장하여Slack,SharePoint및다양한생산성도구를위한커넥터를추가했습니다.​​이와같은시기는AI기반생산성시장에서구글이경쟁우위를유지하려는노력을보여줍니다.구글은자사Workspace생태계와의통합을심화함으로써기업과의관계를더욱견고하게구축하고,구글제품군을이미사용하고있는조직에게더맞춤화된연구역량을제공하려합니다.
1604
0
2025.11.06
찰스 국왕, 행사에서 엔비디아 CEO에게 AI 위험성 경고
찰스 국왕, 행사에서 엔비디아 CEO에게 AI 위험성 경고
(퍼플렉시티가정리한기사)찰스3세국왕은어제세인트제임스궁전에서열린퀸엘리자베스공학상시상식에서CEO젠슨황에게인공지능의위험성에대한강력한경고를직접전달했으며,이는이기술의급속한발전에대한왕실의우려가커지고있음을보여준다."그가말씀하시길,당신과이야기하고싶은것이있다고하셨어요.그리고저에게편지를건네주셨습니다"라고황은11월5일시상식이후BBC에말했다.그편지에는블레츨리파크에서열린AI안전정상회의에서국왕이2023년에한연설문사본이담겨있었으며,이연설에서AI위험은"긴급성,단합,그리고집단적힘의감각"으로대처해야한다고경고했다.​AI안전성에대한왕실의강조국왕의개입은엔비디아가지난주역사적인5조달러가치평가에도달하여이이정표를달성한최초의기업이되면서이루어졌다.국왕이황에게공유하기위해직접선택한2023년연설에서AI개발을"전기의발견못지않게중요하다"고규정하면서도이기술이"선과악을위해사용될수있다"고경고했다.​"그것은AI안전에관한그의연설이었습니다.그는분명히AI안전에대해매우깊이관심을가지고계십니다"라고황은말하며,영국과세계를변화시킬AI의"놀라운능력"에대한국왕의믿음을언급했다.행사중찰스국왕은참석자들에게"주변에많은악의적인행위자들이있다"고경고하며기술출현의"빠른"속도를지적했다.​저명한수상자들이우려를공유하다Huang은2025년QEPrize를수상한6명의다른AI선구자들과함께상을받았으며,여기에는GeoffreyHinton과YoshuaBengio가포함되어있는데,이들은모두이전에AI가인류에게실존적위협이된다고경고한바있다.50만파운드의상금은"현대머신러닝"에대한그들의집단적공헌을인정한것이다.​"AI의대모"로알려진Fei-FeiLi교수는기자들에게국왕과이기술이"사람들을위해좋은일을하고,우리가위험을인식하도록하는것"에대해논의했다고말했다.시상식은정책입안자들과업계리더들을분열시킨급속한AI발전과안전문제사이의긴장을부각시켰다.​정치적및산업적맥락영국국왕의AI주의강조는트럼프행정부의접근방식과극명하게대조됩니다.트럼프행정부는AI안전정상회의를AI행동정상회의로브랜드를변경하고안전조치보다신속한개발을장려해왔습니다.황대표는최근5,000억달러규모의AI칩주문을확보했으며미국정부를위한7개의새로운슈퍼컴퓨터계획을발표했습니다.​엔비디아를포함한미국의주요기술기업들은영국전역의AI인프라에수십억달러를계속투자하고있으며,황대표는현재순간을"지금바로일어나고있는산업혁명"이라고묘사했습니다.
1603
0
2025.11.06
KT 클라우드, 국내 첫 액체 냉각 AI 데이터센터 개소
KT 클라우드, 국내 첫 액체 냉각 AI 데이터센터 개소
(퍼플렉시티가정리한기사)ktcloud가6일국내상업용데이터센터로는처음으로리퀴드쿨링(액체냉각)기술을적용한'가산AI데이터센터'를개소했다고발표했다.이는고성능GPU발열문제해결을통해AI인프라시장선점에나선전략적행보로평가된다.​가산AIDC는연면적약1만1046평,지하5층·지상10층규모로총수전용량40MW,IT용량26MW를갖춘초거대AI인프라허브다.특히GPU칩에콜드플레이트를부착하고냉수를직접접촉시키는D2C(DirecttoChip,직접칩냉각)방식을국내최초로상용화했다.​최지웅ktcloud대표는"GPU발열량이많아내구성이떨어질수밖에없다.수명이2~3년에불과해리퀴드쿨링은필수적"이라며"온도가낮춰져야오래쓸환경이마련된다"고강조했다.​AI전용서비스로시장공략가산AIDC를통해ktcloud는국내최초의'Colo.AI'서비스를본격제공한다.이는고객맞춤형GPU서버,전용네트워크,운영플랫폼,유지보수까지모든것을포함한통합형턴키AI인프라서비스다.엔비디아B200등최신GPU기반으로구성되며,랙당최대160kW급처리가가능해엔비디아블랙웰급GPU시스템도운영할수있다.​현재국내전문AI기업과중소금융기업등이이미Colo.AI를활용해대규모AI모델학습및서비스운영을수행하고있다.최대표는"온디맨드방식이어서초기투자부담이없고,데이터센터인프라와통신망을모두갖춰경쟁력이높다"고밝혔다.​AI인프라확장계획ktcloud는가산을시작으로서부권역을포함한국내주요거점에2030년까지500MW이상규모의인프라를중장기적으로확보할계획이다.이는엔비디아가한국에GPU26만장을공급하기로한가운데,AWS가7조원규모로국내AI데이터센터를확충하는등글로벌빅테크의한국투자가본격화되는시점과맞물려있다.
1597
0
2025.11.06
회원가입
아이디/비밀번호 찾기