로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
497
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 44 페이지
팔란티어 주가, AI 밸류에이션 우려 속 급락
팔란티어 주가, AI 밸류에이션 우려 속 급락
Palantir [ +1.89%] 주가는 11월에 17% 급락하여 2023년 8월 이후 최악의 월간 하락률을 기록했습니다. 이는 투자자들이 밸류에이션 우려와 공매도 투자자 마이클 버리가 회사에 대한 9억 달러 규모의 공매도 포지션을 공개한 후 AI 관련 주식에서 손을 뗐기 때문입니다.[cryptorank]이번 매도는 월스트리트 예상을 상회하는 11억 8천만 달러의 매출로 강력한 3분기 실적을 기록했음에도 불구하고 발생했습니다. Jefferies, RBC Capital Markets, Deutsche Bank를 포함한 여러 애널리스트들이 회사의 선행 주가수익비율(forward earnings)이 약 233배로 Nvidia [ -2.08%]의 38배와 비교해 “극단적인” 밸류에이션이라고 지적했습니다.[cryptorank]CEO 알렉스 카프는 버리를 시장 조작으로 비난하고 공매도 포지션을 “완전히 미친 짓”이라고 부르며 회사를 방어했습니다. 한편 광범위한 AI 섹터 후퇴로 Nvidia는 12% 이상 하락했고, Microsoft [ +1.34%]와 Amazon [ +1.75%]은 약 5% 하락했으며, Apple [ +0.29%]과 Alphabet만이 11월에 상승세를 기록했습니다.[cryptorank]
479
0
2025.11.30
스마트워치가 AI 분석을 통해 건강 모니터로 진화
스마트워치가 AI 분석을 통해 건강 모니터로 진화
2025년스마트워치산업은웨어러블기기를단순한피트니스트래커에서만성질환의조기경고신호를감지할수있는임상등급센서와인공지능을갖춘정교한건강모니터링시스템으로변모시켰습니다.삼성,애플,Garmin의최신세대기기들은이제수면의질부터심혈관부담까지모든것을추적할수있는고급바이오센서를탑재하여손목에서예방적헬스케어로의전환을보여주고있습니다.임상급모니터링이소비자기기에도달하다2025년7월출시된삼성의GalaxyWatch8시리즈는일주기리듬을분석하여최적의수면시간을권장하는취침가이드(BedtimeGuidance)와수면중심혈관부담을측정하는혈관부하(VascularLoad)추적을포함한여러건강혁신기능을도입했습니다.이기기들은또한5초만에카로티노이드수치를평가하여산화스트레스와전반적인웰빙에대한통찰력을제공하는항산화지수(AntioxidantIndex)기능을탑재하고있습니다.​애플은2025년9월WatchSeries11의고혈압감지기능에대해FDA승인을받았으며,이기능은광학센서를사용하여30일동안심장박동에대한혈관의반응을분석합니다.이알고리즘은만성고혈압과관련된일관된패턴을수동적으로모니터링하며,애플에따르면이전에진단받지못한100만건이상의사례를잠재적으로식별할수있습니다.Series11은또한24시간배터리수명과AppleIntelligence로구동되는수면점수기능을제공합니다.​가민의2025년11월소프트웨어업데이트는수십개의워치모델에건강상태(HealthStatus)기능을도입했으며,이는안정시심박수,심박수변이도,맥박산소측정,호흡,피부온도를분석하여개인화된건강기준선을생성합니다.이시스템은지표가정상범위를벗어나는경향을보일때사용자에게알림을보내며,이는질병,과훈련또는스트레스를나타낼수있습니다.​AI통합확대로시장급등글로벌스마트워치시장은2025년1,083억1,000만달러에달할것으로예상되며,연평균12.9%의성장률을기록할것으로전망됩니다.고급건강모니터링기능이도입을촉진하고있으며,웰니스애플리케이션이시장점유율의35%이상을차지하고있습니다.북미는건강중심웨어러블의조기도입과확장된무선인프라에힘입어전세계성장의40%를차지합니다.​이러한기기들은이제여러데이터스트림을동시에처리하는AI기반분석을통합하여,개인화된웰니스점수와불규칙한심장리듬,탈수위험및수면장애에대한예측알림을제공합니다.삼성의갤럭시워치8은구글제미나이통합을특징으로하는최초의스마트워치가되어,음성제어건강추적및운동관리를가능하게했습니다.
494
0
2025.11.29
DeepSeek의 수학 모델이 인간의 Putnam 점수를 넘어서다
DeepSeek의 수학 모델이 인간의 Putnam 점수를 넘어서다
중국AI스타트업DeepSeek은목요일오픈소스수학적추론모델인DeepSeekMath-V2를공개했으며,이모델은2024년Putnam수학경시대회에서120점만점에118점이라는거의완벽한점수를달성하여인간최고점수인90점을능가했다.6,850억개의매개변수를가진이모델은또한InternationalMathematicalOlympiad2025와ChineseMathematicalOlympiad2024에서금메달수준의성능을달성했다.​DeepSeekMath-V2가IMO수준경시대회에서금메달등급을달성한최초의오픈소스모델이되면서,이번출시는AI기반수학적추론의전환점을나타낸다.올해초유사한이정표를달성한OpenAI와GoogleDeepMind의독점모델들과달리,DeepSeek은HuggingFace와GitHub에서Apache2.0라이선스로모델가중치를공개적으로제공했다.​자기검증프레임워크가AI추론격차를해결하다이모델은최종답변의정확성보다증명의질을우선시하는새로운자기검증프레임워크를도입합니다.DeepSeek연구진은한시스템이수학적증명을생성하는"증명자"역할을하고다른시스템이추론을면밀히검토하는"검토자"역할을하는이중모델아키텍처를설계했습니다.회사의기술논문에따르면,이접근방식은현재AI시스템의중요한한계를해결합니다:"올바른최종답변이올바른추론과정을보장하지는않는다".​그룹상대정책최적화(GroupRelativePolicyOptimization)를기반으로구축된훈련방법론은단순히정답에보상을주는대신증명이완전하고논리적으로건전한지를평가하는검증자우선접근방식을사용합니다.IMO-ProofBench벤치마크에서DeepSeekMath-V2는기본증명에대해99%의성공률을달성하여Google의GeminiDeepThink의89%를크게능가했습니다.​중국,오픈소스AI에서우위확보이번출시는중국이글로벌오픈소스AI시장에서미국을추월하면서이루어졌습니다.11월말MIT와HuggingFace가발표한연구에따르면,중국에서개발된오픈모델은지난1년간전세계다운로드의17%를차지하여처음으로미국개발자들의15.8%점유율을넘어섰습니다.DeepSeek와Alibaba의Qwen모델이중국의오픈모델다운로드를주도하고있습니다.
471
0
2025.11.29
딥시크, 알리바바 연구진, 중국 AI 규정의 투명성 촉구
딥시크, 알리바바 연구진, 중국 AI 규정의 투명성 촉구
DeepSeek와Alibaba의연구원들이Science저널에논문을발표하며중국의빠르게성장하는규제프레임워크에서투명성증대와보다체계적인피드백을요구한후,인공지능을규제하려는중국의야심찬노력이국제적관심을다시받고있습니다.불과며칠전발표된그들의분석은정책입안자들에게배포전신고의명확성을개선하고,오픈소스AI에대한감독을강화하며,중국의AI산업이급속도로확장됨에따라독립적인검증메커니즘을구현할것을촉구합니다.​확장되는규칙들,남아있는불투명성중국의AI규제환경은놀라운속도로발전해왔습니다.2025년4월까지중국국가인터넷정보판공실(CAC)은2,350개이상의기업으로부터3,739개의생성형AI도구를등록했으며,레지스트리는매달최대300개씩증가하고있습니다.그러나이러한성장에도불구하고AI모델신고절차는여전히매우불투명합니다.신청이거부된개발자들은거의또는전혀설명을받지못하는경우가많으며,승인된모델은통합목록으로만공개됩니다.이러한불투명성은규정준수를복잡하게만들어AI기업들이규제기대치를이해하고적응하기어렵게만듭니다.​저자들은"중국의규정은복잡한모자이크를형성했다"고언급하며,규제프레임워크가혁신과연구를가능하게하지만,중국의국내AI시스템이미국의선도모델에필적하는'최첨단'역량을개발함에따라당국의더명확한소통과투명성이필수적이라고덧붙였습니다.​오픈소스:기회인가위험인가?중국현정권의주요특징중하나는오픈소스AI모델과과학연구에사용되는도구에대한면제조항입니다.이는미국과유럽에서의더엄격한접근방식과뚜렷한대조를이룹니다.그러나전문가들은이러한면제가제대로통제되지않을경우“위험한오용”을초래할수있다고경고합니다.“여론속성또는사회적동원역량”을가진서비스의정의가모호하게남아있어,면제적용범위가얼마나넓을지에대한우려를불러일으키고있습니다.DeepSeek와알리바바연구진은이러한모델이악의적이거나사회를불안정하게만드는목적으로악용되지않도록더엄격한경계와독립적인감독의필요성을주장합니다.​한편,베이징컨설팅기업ConcordiaAI의최근검토에따르면,현재중국의주요AI시스템들은미국과유사한수준의위험성을보이고있어더견고한준수및안전성점검의중요성이더욱커지고있습니다.​시장영향과향후전망중국의규제접근방식은여러기둥위에세워져있습니다:배포전신고,자체평가,AI생성콘텐츠에대한라벨링요구사항,그리고단계적이고때로는실험적인새로운규칙의시행입니다.중국은포괄적인AI법안을제정하지는않았지만,입법자들사이에서초안이검토되고있으며,특히2025년중반이후로방대한기술표준이계속확대되고있습니다.​이러한추진은또한기업들이투명성과안전성에대한새로운기준을충족하기위해노력하면서규정준수도구,모델평가소프트웨어,그리고독립적인감사에대한수요를촉진시켰습니다.DeepSeek와Alibaba논문은추가적인진전이명확한규제지침과제3자검증에달려있음을강조하는데,이는중국의AI생태계가글로벌무대에서성숙해짐에따라책임있는성장을유지하고위험을줄이는데필수적인단계로여겨집니다.​"중국은실제로AI거버넌스에서추종자에서선도자로전환했으며,이는의미가있습니다"라고공동저자이자법학교수인ZhangLinghan은말했지만,현재개발자와정책입안자모두에게도전이되는불투명성을해소하는것이성공의관건이될것이라고언급했습니다.
468
0
2025.11.29
회원가입
아이디/비밀번호 찾기