로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
520
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 34 페이지
OpenAI가 Adobe Photoshop, Express, Acrobat을 ChatGPT에 통합
OpenAI가 Adobe Photoshop, Express, Acrobat을 Ch…
Adobe는 수요일에 Photoshop, Adobe Express, Acrobat을 ChatGPT에 통합하여 사용자들이 챗봇 인터페이스를 벗어나지 않고도 대화형 명령어를 통해 무료로 이미지를 편집하고, 디자인을 생성하며, PDF를 수정할 수 있도록 했다.이번 통합은 매주 8억 명이 넘는 ChatGPT 사용자들에게 Adobe의 창작 도구에 대한 접근을 제공하지만, 데스크톱 버전에 비해 제한된 기능을 제공하며, 이는 챗봇을 제3자 디지털 서비스의 관문으로 전환하려는 OpenAI의 전략의 일환이다.이 파트너십은 5월에 네이티브 이미지 편집 기능을 출시한 Google의 Gemini AI에 맞서 두 회사를 위치시키는 동시에, Adobe에게는 ChatGPT의 방대한 사용자 기반에 대한 노출을 제공하고 회사가 “에이전틱 대화형 인터페이스”라고 부르는 것을 가능하게 한다.
404
0
2025.12.11
백악관 AI 연구 추진 제네시스 미션에 3억 2천만 달러 지원
백악관 AI 연구 추진 제네시스 미션에 3억 2천만 달러 지원
에너지부는 인공지능 기반 연구 자동화를 통해 10년 내에 미국의 과학 생산성을 두 배로 늘리는 것을 목표로 하는 트럼프 대통령의 AI 이니셔티브인 제네시스 미션에 3억 2천만 달러 이상의 투자를 발표했습니다.DOE 차관 다리오 길은 의원들에게 이 자금이 미국 과학 클라우드(American Science Cloud)와 혁신적 모델 컨소시엄(Transformational Model Consortia)을 지원할 것이며, 전담 팀들이 이미 슈퍼컴퓨터 시간을 자동으로 할당하고, 결과를 분석하며, 실험을 시작하는 AI 워크플로우를 개발하고 있다고 말했습니다.하원 청문회에서는 보안 문제가 최우선 과제로 다뤄졌으며, 의원들은 AI 능력의 위험성과 적대국들의 모델 역공학 가능성에 대해 질문했고, 길은 속도가 성공에 매우 중요하다고 강조하며 “우리는 생명이 달린 것처럼 행동해야 합니다”라고 말했습니다.
411
0
2025.12.11
MS 연구 결과, 사용자들이 건강 및 관계 조언을 위해 Copilot 이용
MS 연구 결과, 사용자들이 건강 및 관계 조언을 위해 Copilot 이용
Microsoft는 2025년 1월부터 9월까지 3,750만 건의 익명화된 대화를 분석한 최초의 포괄적인 Copilot 사용 연구를 발표했으며, 사용자들이 단순히 생산성 도움만이 아닌 건강, 관계, 인생 결정에 대한 개인적인 지침을 점점 더 많이 찾고 있다는 사실을 밝혔습니다.연구는 데스크톱과 모바일 사용자 간의 뚜렷한 차이를 발견했는데, 데스크톱 사용자는 Copilot을 생산성 도구로 취급한 반면 모바일 사용자는 “대화형 동반자”로 활용했으며, 건강 관련 주제가 하루 중 모든 시간대의 대화를 지배했습니다.Microsoft의 책임 있는 AI 책임자는 사용자들이 그러한 목적으로 설계되지 않은 도구에서 정서적 지원을 구함에 따라 안전 문제를 인정했으며, OpenAI, Google, Meta, Anthropic과 장기 챗봇 사용자를 두고 경쟁하는 가운데 “필요한 통제와 보호 장치”의 필요성을 강조했습니다.
410
0
2025.12.11
AI 사용이 뉴노멀이 된 대학 교육 현장
AI 사용이 뉴노멀이 된 대학 교육 현장
AI 시대의 대학교육과 AI 활용 경향생성형 AI의 급격한 발전으로 인해 대학생들의 학습 방식이 근본적으로 변화하고 있습니다. 대학생들은 과제, 수업 이해, 시험 대비 등 학습 전반에 걸쳐 AI를 폭넓게 사용하며, AI를 '선호하지 않을 수는 있지만 안 쓰는 사람은 없을 것'이라는 인식이 확산되었습니다. 일부 대학은 챗GPT 표절 방지를 위해 과제 현장 수행을 늘리거나, 경인교대처럼 논쟁적 질문 준비 시 AI 사용을 금지하는 등의 가이드라인을 제시하고 있습니다. 그러나 대다수 학생들은 AI를 자료 요약, 아이디어 도출, 모의고사 제작 등에 활용하며 AI를 '좋은 도구'이자 학습의 효율을 높이는 '필수 교보재'로 인식하고 있습니다.학습자와 교수자의 AI 활용과 인식 차이대학생들은 AI를 여러 단계로 활용하는 '헤비 유저'가 많으며, 예를 들어 자료 검색, 초안 작성, 문체 리라이팅 등 다양한 AI를 교차 사용하는 경향을 보입니다. 이들은 중간에 자신의 의견을 넣어 협업했기 때문에 AI가 생성한 결과물도 '나의 결과물'로 여기는 경향이 뚜렷합니다. 한편, 대학 교수들 사이에서는 AI 활용을 막을 수 없다는 판단하에 글쓰기나 철학 등 인문계열에서도 AI 활용법을 가르치는 사례가 증가하고 있습니다. 교수들은 학생들이 AI 산출물을 그대로 사용하지 않고, AI가 제시한 아이디어를 비판적으로 수정하고 자신의 것으로 소화하는 '자기화 과정'이 중요하다고 강조하며, 사고의 외주화를 경계하고 있습니다.AI 활용의 '선' 설정과 교육적 대안 모색AI의 활용이 '뉴노멀'이 되었음에도 불구하고, 대학들의 AI 활용 가이드라인은 주로 부정행위 방지나 평가 방식(과정평가/구술평가)에 초점을 맞추고 있으며, AI 활용의 윤리적 쟁점이나 비용 격차로 인한 학습 격차 같은 심층적인 논의는 부족한 실정입니다. 대학들은 AI 활용의 무게추를 '활용'과 '제한' 사이에서 달리하고 있지만, 전문가들은 'AI를 어느 선까지 활용하는 것이 타당한지'에 대한 교육적 합의와 논의가 필요하다고 지적합니다. 교수자-학습자가 특정 활동에서 AI 사용 여부를 합의하고, 왜 AI를 사용하는 것이 학문적 역량에 도움이 되는지, 어떤 때 사용하지 않는 것이 좋은지를 교수자가 설득하여 학생들의 사고 과정 체화를 유도해야 할 시점입니다.
421
0
2025.12.10
회원가입
아이디/비밀번호 찾기