로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
54
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,252 / 42 페이지
마이크로소프트 AI CEO, 윈도우즈 코파일럿 반발 이후 AI 옹호
마이크로소프트 AI CEO, 윈도우즈 코파일럿 반발 이후 AI 옹호
**마이크로소프트(Microsoft)**의 AI CEO **무스타파 술레이만(Mustafa Suleyman)**은 Copilot과 Windows에 AI가 통합되는 것에 불만을 가진 비평가들에게 반박하며, 사람들이 AI와 유창하게 대화하고 이미지와 동영상을 생성할 수 있는 능력에 감명을 받지 않는다는 사실에 “정말 놀랐다”고 말했다.술레이만의 옹호는 최근 The Verge의 보고서에서 실제 Copilot의 기능이 **마이크로소프트(Microsoft)**가 광고에서 보여주는 것과 맞지 않는다는 점이 지적된 가운데 나왔으며, Windows 사장 **파반 다불루리(Pavan Davuluri)**가 “대리 OS(agentic OS)” 비전을 홍보하다가 심한 반발을 받아 자신의 게시물에서 답글 기능을 비활성화해야 했던 사건에 이어졌다.이 논란은 **마이크로소프트(Microsoft)**가 새로운 “AI를 위한 당신의 캔버스(Your canvas for AI)” 슬로건을 밀어붙이는 가운데, Windows의 평판이 해당 매체가 “역대 최저”라고 묘사할 정도로 떨어진 상황을 부각시킨다. 사용자들은 모든 인터페이스에 원하지 않는 AI 기능을 강제로 넣는 대신 회사가 근본적인 플랫폼 문제를 해결할 것을 요구하고 있다.
160
0
2025.11.20
구글 딥마인드, 전 보스턴 다이내믹스 CTO 아론 손더스 영입
구글 딥마인드, 전 보스턴 다이내믹스 CTO 아론 손더스 영입
Google DeepMind는 Boston Dynamics의 전 최고기술책임자(CTO)인 Aaron Saunders를 하드웨어 엔지니어링 부사장으로 영입했습니다. 이는 CEO Demis Hassabis가 Gemini를 Android가 여러 제조업체의 스마트폰을 구동하는 것처럼 범용 로봇 운영체제로 변모시키려는 비전을 발전시키기 위한 것입니다.Hassabis는 Gemini가 “거의 모든 물리적 구성으로 즉시 작동할 수 있는” AI 기반으로 기능하기를 목표로 하며, 이는 인간형 및 비인간형 로봇을 포함하여 회사가 AI 기반 로봇공학 분야로의 진출을 강화하고 있는 가운데 추진되고 있습니다.이러한 움직임은 Google DeepMind를 2035년까지 510억 달러 규모에 달할 것으로 예상되는 급속히 성장하는 시장에서 경쟁할 수 있는 위치에 올려놓습니다. 경쟁사인 Tesla는 향후 10년간 백만 대의 Optimus 인간형 로봇 생산을 목표로 하고 있으며, Unitree와 같은 중국 기업들은 경쟁력 있는 가격의 다리 달린 로봇을 제공하고 있습니다
160
0
2025.11.20
AI 추론 모델은 인간이 하는 것처럼 문제를 해결
AI 추론 모델은 인간이 하는 것처럼 문제를 해결
MIT 연구원들은 새로운 추론 AI 모델에서 가장 많은 연산 처리를 요구하는 문제 유형이 인간이 해결하는 데 가장 오래 걸리는 문제와 동일하다는 것을 발견했으며, 이는 인공지능과 생물학적 지능이 복잡한 사고에 접근하는 방식에서 예상치 못한 수렴을 시사합니다PNAS에 게재된 이 연구는 7가지 문제 유형에 걸쳐 인간의 반응 시간과 AI가 생성한 “토큰”(내부 연산 단계)을 측정했으며, 놀라운 상관관계를 발견했습니다—인간과 모델 모두 “ARC 챌린지“라고 불리는 시각적 추론 과제에 가장 오래 걸리고 기본 산술에는 가장 적은 노력을 소비했습니다추론 모델은 훈련 중 강화 학습을 통해 향상된 성능을 달성하는데, 정답에 대해서는 보상을 받고 오류에 대해서는 페널티를 받아 문제 공간을 탐색하고 인간의 문제 해결 접근 방식을 반영하는 단계별 솔루션 전략을 개발할 수 있습니다
163
0
2025.11.20
푸틴, 보안 우려 속에 러시아 AI 주권 촉구
푸틴, 보안 우려 속에 러시아 AI 주권 촉구
(퍼플렉시티가정리한기사)러시아대통령블라디미르푸틴이수요일모스크바에서열린AI저니컨퍼런스에서춤추는휴머노이드로봇의환영을받았다.푸틴은이자리에서러시아가국내전문가들이완전히통제할수있는독자적인인공지능기술을개발해야한다고강조하며,AI주권이국가안보에필수적임을밝혔다.러시아스베르은행이주최한제10회연례컨퍼런스에서푸틴은"러시아는생성형인공지능분야에서독자적인기술과제품을완비해야한다."고선언했다.그는외국의AI시스템에의존하는것이국가의기술적·문화적자율성에위험을초래할수있다고경고했다.11월19일부터21일까지스베르은행본사에서진행된이번컨퍼런스에서는러시아의최신AI성과시연이펼쳐졌으며,그중에는푸틴이도착했을때맞이한스베르은행의GigaChat언어모형으로구동되는인간형로봇도있었다.​AI야망을위한원자력에너지푸틴은향후20년동안우랄,시베리아,극동지역을중심으로38기의새로운원자력발전소건설계획을발표했으며,이들의총발전용량은러시아의현재원전발전량과거의맞먹는수준이다.대통령은데이터센터의전력소비가이번10년동안3배이상증가할것으로예상됨에따라에너지인프라가매우중요하다고강조했다.​“가장중요하고근본적인과제는데이터센터에대규모의에너지를지속적이고안정적이며신뢰성있게공급하는일입니다.”라고푸틴은말했다.그는AI인프라에전력을공급할수있는소형모듈형원자로개발에서러시아의역량을언급했다.​국가인공지능태스크포스와경제목표푸틴대통령은생성적인공지능개발을감독할국가태스크포스의창설을명령하고,정부에포괄적인이행계획을수립할것을지시했다.그는AI기술이2030년까지러시아국내총생산(GDP)에11조루블(1,360억달러)이상을기여해야한다고전망했다.​대통령은언어모델이세계관에영향을미치고"전체국가의의미공간"을형성할수있는도구가되었다고강조하며,이른바"가치기반주권"을유지하기위해서는자체적인개발이필수적이라고밝혔다.​서양기술과의경쟁러시아의인공지능(AI)부문은미국과중국에뒤처져있으며,토터스미디어의글로벌AI지수에따르면전세계31위를차지하고있다.서방의마이크로칩수입제한제재는모스크바의컴퓨팅야심에차질을빚었으나,러시아는주요국산언어모델두개를개발했다:스베르방크의GigaChat과얀덱스의YandexGPT이다.​푸틴대통령과함께전시회를둘러본스베르방크의CEO게르만그레프는은행이매년약10억달러를AI개발에투자한다고밝혔다.이번컨퍼런스에서는의약품개발부터건강모니터링ATM에이르기까지다양한응용사례가선보였다.​푸틴대통령은AI규제가필요하다고강조하면서도,국가안보와정보작전을위해서는러시아가자체개발한모델만을사용해야하며,이를통해데이터가국경내에안전하게보관된다는점을분명히했다.
138
0
2025.11.20
회원가입
아이디/비밀번호 찾기