로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
484
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 48 페이지
알리바바, 바이트댄스, 미국 칩 금지 피하기 위해 해외에서 AI 모델 훈련
알리바바, 바이트댄스, 미국 칩 금지 피하기 위해 해외에서 AI 모델 훈련
중국기술대기업알리바바와바이트댄스가미국의수출규제를우회하여엔비디아칩에대한접근을유지하기위해동남아시아데이터센터에서최신인공지능모델을훈련하고있다고목요일에발표된파이낸셜타임스보도가전했다.​해외훈련은트럼프행정부가중국으로의엔비디아H20칩판매를금지한2025년4월이후가속화되었다.기술기업들은이제싱가포르와말레이시아전역의비중국데이터센터에서컴퓨팅파워를임대하고있으며,이곳에서대규모언어모델개발에필요한첨단프로세서에합법적으로접근할수있다.​"가장진보된모델을개발하려면최고의칩이필요하며,이모든것은법률을준수하고있습니다"라고싱가포르소재데이터센터운영자가파이낸셜타임스에말했다.​두가지제약사이에갇히다이러한움직임은중국AI개발자들이워싱턴과베이징양측으로부터점증하는압박에직면하면서나타났다.미국이최첨단반도체수출을계속제한하는가운데,중국은11월초국가지원데이터센터가독점적으로국내산AI칩을사용하도록요구하는새로운지침을발표했다.TheInformation에따르면11월26일중국규제당국은특별히ByteDance가국내신규데이터센터에Nvidia칩을배치하는것을금지했다.​Alibaba의Qwen과ByteDance의Doubao모델은중국의주요AI플랫폼으로부상했으며,Doubao는월간활성사용자1억5,700만명이상을서비스하고있다.두회사모두전세계개발자들사이에서오픈소스모델로두각을나타냈다.​AI개발사DeepSeek는해외이전추세에서주목할만한예외를나타낸다.이회사는미국수출금지조치가발효되기전에Nvidia칩을비축했으며,Huawei를포함한중국제조업체들과협력하여다음세대프로세서를개발하면서국내에서모델훈련을계속하고있다.​전략적후퇴지역동남아시아가AI훈련허브로부상하는것은이지역의규제적안정성,빠른연결성,그리고집약적인연산업무를처리할수있는하이퍼스케일시설의확장덕분이다.말레이시아조호르주(싱가포르인근)의데이터센터수용력은싱가포르의제한된용량과높은비용을대체할방안을찾는기업들로인해수십건의프로젝트가승인되면서급증하고있다.​트럼프행정부는2025년8월에반도체수출제한조치를일부완화하여엔비디아와AMD(AdvancedMicroDevices,Inc.)(pplx://entity_chip/5f1014a1)가매출의15%를중국에반환하는조건으로H20칩판매를중국에서재개할수있도록허용했다.그러나엔비디아의최첨단프로세서,특히BlackwellB200시리즈는국가안보조항에따라여전히중국수출이금지되어있다.
462
0
2025.11.28
AMD, 엔비디아의 AI 지배력에 도전하기 위해 오픈소스 ROCm 추진
AMD, 엔비디아의 AI 지배력에 도전하기 위해 오픈소스 ROCm 추진
AMD는오픈소스ROCm플랫폼을Nvidia의독점적CUDA생태계에대한협력적대안으로포지셔닝함으로써AI컴퓨팅분야에서Nvidia의지배력에대한도전을강화하고있으며,특히아시아-태평양지역의개발자와데이터센터를대상으로벤더종속없이유연성을추구하는고객들을타겟으로하고있습니다.이칩제조업체는2025년9월ROCm7을출시하면서InstinctMI350및MI325XGPU에대한기본지원,더빠른AI추론을위한FP4및FP8를포함한저정밀도형식,그리고확장된Windows및소비자용GPU호환성을제공했습니다.이플랫폼은PyTorch및vLLM과같은인기있는프레임워크와처음부터통합되어개발자들이소프트웨어스택을재구축하지않고도AMD하드웨어에서AI워크로드를배포할수있게합니다.​AMD의AI소프트웨어부사장인AnushElangovan은이번주ComputerWeekly와의인터뷰에서"우리는폐쇄형소스를구축할수도있지만,오픈생태계의속도를얻을수없을것입니다"라고말했습니다."대신,우리는업계를발전시키기위해모든사람의역량을활용하고자합니다.이는모두가협력하고매우빠르게움직이는Linux커널과같습니다."​ROCm,Nvidia가새로운경쟁자들과맞서면서입지를다지다AMD의시점은여러방면에서Nvidia에대한압력이커지는것과맞물려있습니다.지난주에MetaPlatforms가Google의텐서프로세싱유닛(TPU)을사용하기위해수십억달러규모의거래를협상중이라는보도가나오면서Nvidia주가는하락하고Alphabet주가는상승하는등,AI칩시장의경쟁에대한투자자들의우려가나타났습니다.Nvidia는11월25일자사의GPU가Google의AI칩보다“한세대앞서있다”고주장하며대응했습니다.​이와같은경쟁구도는주요IT기업들이하드웨어다각화로나아가도록만들고있습니다.RedHat은11월23일RedHatEnterpriseLinux에서AMD,Intel,Nvidia의AI가속기드라이버를간편하게접근할수있도록streamlined경험을발표하며,다중공급업체지원에대한기업의수요를반영하고있습니다.올해초RedHat은AMDGPUOperator를OpenShiftAI플랫폼에통합했으며,Intel및Nvidia와의유사한협력관계에도합류했습니다.​소프트웨어생태계가데이터센터를넘어확장되다AMD의"ROCmeverywhere"이니셔티브는소비자용노트북부터슈퍼컴퓨터까지일관된개발자경험을제공하는것을목표로합니다.Elangovan은회사의칩렛아키텍처가경쟁력있는성능을유지하면서도값비싼액체냉각대신공랭식인프라를가능하게한다고언급했습니다.​최근검증사례로LumaLabs가있으며,Elangovan에따르면이들의Ray3비디오생성모델은"AMD플랫폼에서완전히훈련되고서비스되고있습니다".11월18일,Luma는AMD가주요참여자로참여한9억달러규모의시리즈C펀딩라운드를발표하며파트너십을심화했습니다.​Zyphra또한11월14일자사의ZAYA1AI모델테스트를완료했으며,이는AMDInstinctMI300XGPU와ROCm에서전적으로훈련된최초의대규모Mixture-of-Experts파운데이션모델로,주요AI연구소의모델들과경쟁력있는성능을입증했습니다.
463
0
2025.11.28
삼성전자, AI·반도체 혁신 위한 대규모 조직개편 단행
삼성전자, AI·반도체 혁신 위한 대규모 조직개편 단행
삼성전자가27일메모리개발통합조직신설과경영지원조직격상등을골자로한조직개편을단행했다.이재용회장이공을들이고있는AI와반도체,로봇등신사업위주의'뉴삼성'으로의전환에가속도가붙을것으로보인다.​삼성전자는이날임원설명회를열고부문별조직개편을발표했다.반도체사업을담당하는디바이스솔루션(DS)부문에는D램,낸드등을아우르는'메모리개발담당'조직을신설하고현D램개발실장인황상준부사장을수장으로선임했다.황부사장은D램,낸드,고대역폭메모리(HBM)등제품별로분산돼있던인력과기술을융합하고차세대메모리개발효율성을극대화하는역할을맡는다.​HBM개발팀D램산하로재편지난해7월신설됐던HBM개발팀은1년여만에D램개발실산하설계팀조직으로재편됐다.기존HBM개발팀을이끌던손영수부사장이설계팀장으로선임됐으며,HBM개발팀인력은설계팀산하에서HBM4,HBM4E등차세대HBM제품개발을이어간다.업계는이를HBM4등차세대HBM제품에서상당부분기술력을확보했다는자신감으로해석하고있다.​삼성전자는최근엔비디아,AMD,오픈AI,브로드컴등과HBM분야에서파트너십을구축하는성과를내고있다.시장조사업체카운터포인트리서치에따르면올해2분기HBM시장점유율은SK하이닉스62%,마이크론21%,삼성전자17%순이었지만,내년HBM4공급확대를기반으로점유율30%를넘을것으로전망된다.​AI전환조직대폭신설DS부문글로벌제조인프라총괄산하에는'디지털트윈센터'가신설됐다.이는엔비디아와함께구축하는'반도체AI팩토리'전략을가속화하기위한것으로,삼성전자는5만개의GPU를탑재한업계최대수준의반도체AI팩토리로제조혁신을도모한다.​차세대반도체기술을연구하는SAIT(옛삼성종합기술원)는기존'센터'체제에서더작은단위의'랩'체제로재편했다.회사는최근박홍근하버드대교수를SAIT원장에사장직급으로신규위촉하는등인재영입에도공을들이고있다.​디바이스경험(DX)부문에는윤장현최고기술책임자(CTO)산하에전사AI전환을총괄할'AI전략팀'이신설되며,각사업부에는'AX(AI전환)팀'이구성된다.이와함께삼성전자를비롯한주요계열사들은'경영지원실'을'경영지원담당'으로조직명을변경하고체급을키웠다.이는AI,로봇등미래신사업을발굴하는기획팀의역할을확대하기위한조치로풀이된다.​
467
0
2025.11.28
알리바바, 중국에서 268달러에 Quark AI 안경 출시
알리바바, 중국에서 268달러에 Quark AI 안경 출시
알리바바는목요일에첫스마트안경을출시하며,1,899위안($268)부터시작하는두가지모델로경쟁이치열한AI웨어러블시장에진입했다.이QuarkAI안경은회사의Qwen인공지능모델로구동되며,전자상거래거대기업이드물게소비자하드웨어분야에진출하면서현재중국전역에서구매가능하다.​출시제품에는듀얼마이크로OLED디스플레이를탑재한3,799위안($536)의프리미엄S1모델과화면이없는더저렴한G1버전이포함된다.두안경모두퀄컴의SnapdragonAR1플랫폼을활용하며카메라,골전도마이크,그리고최대24시간지속되도록설계된교체가능한배터리를갖추고있다.이안경은알리바바의티몰,JD.com,바이트댄스의더우인,그리고중국82개도시의600개이상의소매점을통해즉시구매할수있다.​생태계통합및기능일반적인스마트안경과달리,쿼크(Quark)모델은검은색플라스틱프레임의일반안경과유사한외관을가지고있으며알리바바의소비자생태계와깊이통합되어있습니다.사용자는실시간번역,상품을사진으로찍어타오바오가격을즉시인식하는기능,알리페이결제,아맵내비게이션,플리기여행예약등다양한서비스를이용할수있습니다.이안경은또한엔티즈클라우드뮤직과QQ뮤직과협력하여엔터테인먼트기능을제공합니다.​이하드웨어출시는11월중순출시첫주만에1,000만건의다운로드를기록한알리바바의췐(Qwen)AI앱의최근성공에이어진행되었습니다.에디우(EddieWu)CEO는앱출시이래로“예외적인사용자유지율”을경험했다고언급했으며,이안경을알리바바의더넓은소비자AI진출의확장으로포지셔닝하고있습니다.​격화되는시장경쟁알리바바는글로벌및국내시장모두에서강력한경쟁에직면해있습니다.메타는약80%의시장점유율로스마트안경부문을지배하고있으며,2025년에400만개의AI안경을출하할것으로예상됩니다.799달러에책정된메타의레이밴디스플레이안경은시장의프리미엄제품군을대표합니다.중국에서는샤오미가9월까지출하된160만개의스마트안경중약3분의1을차지했으며,바이두는11월에샤오두AI글래스프로를2,299위안에출시했습니다.​InternationalDataCorp는2025년글로벌스마트안경출하량이1,280만대에달할것으로예상하며,중국시장만으로도275만대를초과하여전년대비107%급증할것으로전망합니다.AI안경시장은2026년까지1,000만대를넘어설것으로예상되며,2030년까지3,500만대에이를것으로예측됩니다.Quark안경의국제버전은내년에AliExpress와같은플랫폼을통해출시될것으로예상됩니다.​
488
0
2025.11.28
회원가입
아이디/비밀번호 찾기