로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
482
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 49 페이지
AI ‘딸깍 출판’ 검증없이 유통 유려
AI ‘딸깍 출판’ 검증없이 유통 유려
동아일보는서울대학교도서관에검증되지않은인공지능(AI)생성도서들이무분별하게비치되어있다는문제를다루고있습니다.최근서울대학교도서관전자책장서에별다른검수과정을거치지않은일명'딸깍출판(클릭한번으로AI가책을만든다는의미)'도서가최소9,000권이상유입된것으로확인되었습니다.이들서적은AI를활용해대량으로찍어낸것들로,기본적인맞춤법부터심각한번역오류까지다양한문제를안고있는것으로드러났습니다.구체적인오류사례를살펴보면,국어음운론을다룬책에서'입다'의발음을'입따'가아닌'임다'로잘못설명하거나,가와바타야스나리의소설'설국(雪國)'을'눈국'으로오역하는등황당한내용이발견되었습니다.또한칸트의저서를고대그리스역사가헤로도토스의저술이라고표기하거나,철학서적에맥락과맞지않는'삐라'라는단어가등장하는등학술자료로서의신뢰성을담보하기어려운수준이었습니다.이러한도서들이국내최고지성으로꼽히는서울대도서관에버젓이자리잡게된것은대형서점의전자책구독플랫폼을통해대량의도서를일괄적으로들여오는구조때문입니다.특정출판사는하루에만70권이넘는책을찍어내는등지난1년간7,000권이상의전자책을쏟아냈지만,이를걸러낼검증시스템이나AI저작물표기의무가부재한실정입니다.전문가들과학생들은이러한'오류투성이'AI도서가연구윤리를저해하고학술생태계를교란할수있다고우려하고있습니다.이에따라AI생성콘텐츠에대한명확한표기를의무화하고,도서관과서점이질낮은AI출판물을걸러낼수있는'큐레이션'시스템과선정기준을시급히마련해야한다는지적이제기되고있습니다.
513
0
2025.11.27
xAI, 오염 소송이 임박한 가운데 태양광 발전소 계획
xAI, 오염 소송이 임박한 가운데 태양광 발전소 계획
일론 머스크의 인공지능 회사 xAI는 지난주 멤피스 시와 카운티 관계자들에게 자사의 대규모 콜로서스 데이터 센터 인근에 88에이커 규모의 태양광 발전소를 건설할 것이라고 알렸습니다. 이 결정은 허가받지 않은 가스 터빈으로 인해 주변의 주로 흑인 거주 지역의 대기 질이 악화되어 법적 도전에 직면하고 있는 상황에서 이루어진 것입니다.이 태양광 설비는 약 30메가와트의 전기를 생산할 예정이며, 이는 데이터 센터 추정 전력 소비량의 단 10%에 불과합니다. 해당 프로젝트는 현재 AI 모델 훈련을 위해 400메가와트 이상의 천연가스 터빈에 의존하고 있는 시설의 서쪽과 남쪽 토지에 지어질 예정입니다.환경 및 법적 조사미국 남부 환경법 센터(Southern Environmental Law Center)는 NAACP를 대리해 xAI가 적절한 허가 없이 최소 35기의 터빈을 운용하며 대기청정법(Clean Air Act)을 위반했다고 고발했습니다. 이 단체에 따르면, 이 터빈들은 매년 2,000톤 이상의 질소산화물 오염을 배출하여 스모그와 호흡기 문제를 악화시키고 있다고 주장합니다.테네시 대학교 녹스빌 캠퍼스 연구진은 NASA와 유럽우주국의 위성 데이터를 분석한 결과, xAI가 운영을 시작한 이후 데이터 센터 인근 지역에서 질소이산화물의 최대 농도가 79% 증가했음을 발견했습니다. 전체적으로 평균 농도는 3% 증가했고, 인근 박스타운(Boxtown)에서는 9% 증가했다고 밝혔습니다.“Memphis에서 xAI 터빈이 질소산화물, 즉 폐에 직접 해가 되는 오염물질을 배출함으로써 공중 보건 위기가 초래되고 있습니다.“라고 사우스 멤피스의 가정의학 전문의 오스틴 달고(Austin Dalgo)는 8월 TIME지와의 인터뷰에서 말했습니다. “이러한 배출물은 어린이, 노인, 천식이나 COPD 등의 호흡기 질환을 앓는 이들을 포함해 우리 도시에서 가장 취약한 주민들에게 가장 심각한 위험을 제공합니다.”1860년대 해방된 노예들이 세운 동네인 박스타운(Boxtown)은 기존 산업 오염으로 인해 이미 전국 평균 대비 4배 높은 암 발병 위험에 직면해 있습니다. 지역 활동가들은 해당 시설이 2024년 6월에 개소한 이래로 천식 발작과 호흡기 문제의 증가를 보고하고 있습니다.보다 폭넓은 청정 에너지 계획이 88에이커 규모의 프로젝트는 더 큰 재생에너지 이니셔티브의 일부입니다. 9월에 xAI는 100MW 규모의 그리드용 배터리와 결합된 100MW 태양광 발전소를 구축해 24시간 전력을 공급할 계획을 발표했습니다. 해당 프로젝트를 관리하는 개발업체인 세븐스테이츠 파워 컴퍼니는 1월 미국 농무부로부터 4억 3,900만 달러를 지원받았으며, 이 중 4억 1,400만 달러는 무이자 대출입니다.현지 당국은 7월 xAI에게 2027년 1월까지 멤피스 시설에서 15대 터빈을 운영할 수 있는 허가를 내주었습니다. 하지만 위성 사진에서는 허가된 것보다 더 많은 터빈이 가동 중인 것으로 확인되었습니다. 한편, xAI는 주 경계를 넘어 미시시피에 위치한 콜로서스 2 데이터 센터에 가스 터빈 59대를 설치했으며, 그 중 18대는 임시용으로 분류되어 있어 표준 배출량 보고에서 면제됩니다.
477
0
2025.11.27
아마존 직원들이 '어떤 비용도 정당화되는' 회사의 AI 개발 방식에 대해 경고
아마존 직원들이 '어떤 비용도 정당화되는' 회사의 AI 개발 방식에 대해 경고
WIRED에 따르면, 1,000명 이상의 Amazon 직원들이 회사의 “모든 비용을 정당화하는 빠른 속도의 AI 혁신 접근법”이 민주주의, 고용, 환경을 위협한다고 경고하는 공개 서한에 서명했다.고위 엔지니어부터 창고 근로자까지 다양한 청원 서명자들은 Amazon이 데이터 센터에서 화석 연료 사용을 중단하고 감시 목적의 AI 배포를 금지할 것을 요구하고 있으며, 회사의 AI 추진이 해고를 정당화하는 구실로 사용되고 있고 에너지 수요로 인해 전력 공급업체들이 석탄 및 탄소 집약적 에너지원으로 회귀하도록 강요하고 있다는 우려를 제기했다.이러한 활동은 Amazon이 AI 전략과 관련하여 약 14,000개의 일자리 감축을 발표한 가운데 이루어졌으며, 해고된 직원의 거의 40%가 엔지니어였고, 회사의 탄소 배출량은 2019년 탄소 중립 서약을 발표한 이후 35% 급증했다.
476
0
2025.11.27
제프 베이조스의 새로운 AI 벤처가 에이전틱 컴퓨팅 스타트업을 조용히 인수
제프 베이조스의 새로운 AI 벤처가 에이전틱 컴퓨팅 스타트업을 조용히 인수
WIRED는 Jeff Bezos의 비밀스러운 AI 벤처인 Project Prometheus가 컴퓨터, 차량, 우주선을 제조하기 위한 AI 시스템을 개발하는 데 62억 달러를 조달한 가운데, “번개 같은 속도”로 작동하는 컴퓨터 자동화 에이전트 Ace를 개발한 스타트업 General Agents를 조용히 인수했다고 보도했습니다.이 인수는 공동 창립자 Vik Bajaj가 General Agents 공동 창립자 Sherj Ozair를 포함한 AI 연구자들과 함께 샌프란시스코에서 프라이빗 저녁 식사를 주최한 지 불과 4일 후에 이뤄졌으며, 이후 프로젝트는 OpenAI, DeepMind, Google 출신의 100명이 넘는 직원들을 영입하며 인력을 확장했습니다.이번 계약으로 Prometheus는 2025년 70억 6천만 달러에서 2032년 932억 달러로 성장할 것으로 예상되는 빠르게 확장하는 에이전틱 AI 시장에서 유리한 위치를 선점했으며, 컴퓨터 자동화에서 속도적 우위를 가진 경쟁자를 제거함으로써 다른 경쟁자들이 따라잡기 어려운 이점을 얻게 되었습니다.
472
0
2025.11.27
회원가입
아이디/비밀번호 찾기