로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
480
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 52 페이지
AI 쇼핑 어시스턴트가 블랙 프라이데이 소매업 재편
AI 쇼핑 어시스턴트가 블랙 프라이데이 소매업 재편
이번주미국주요소매업체들은인공지능쇼핑어시스턴트를도입하며,휴일쇼핑수요를선점하기위한공동의노력을펼쳤습니다.이는모바일쇼핑도입이후전자상거래분야에서가장중요한변화로평가받고있습니다.아마존의AI어시스턴트루퍼스(Rufus)는연간100억달러이상의추가매출을창출할것으로예상되며,앤디재시(AndyJassy)CEO는지난달이도구를2025년까지2억5천만명의활성고객이사용할것이라고발표했습니다.루퍼스를사용하는고객은일반쇼핑객에비해구매를완료할확률이60%더높은것으로나타났습니다.​타겟은11월25일ChatGPT연동기능을출시,고객들이OpenAI의챗봇내에서제품을탐색하고,여러상품으로장바구니를구성하며,바로구매까지완료할수있도록했습니다.타겟의최고정보및제품책임자인프랫베마나(PratVemana)는이번주직접해당기능을테스트해앱을통해수면복을구매했다고밝혔습니다.베마나는“ChatGPT,퍼플렉서티,제미니등어떤플랫폼이든,우리는고객이가진질문에답하는데함께하고싶다”고말했습니다.​월마트는자체AI쇼핑어시스턴트스파키(Sparky)내에서광고를테스트해왔다고이사안에정통한관계자들이전했습니다.월마트는9월부터11월초까지일부광고주와함께“스폰서드프롬프트(SponsoredPrompt)”형식의광고실험을진행했습니다.관련소식이후월마트주가는2.07%상승했습니다.​AI쇼핑도구출시붐세개의주요AI플랫폼이며칠간격으로경쟁적인쇼핑기능을공개했습니다.OpenAI는11월24일,명확한질문을하고맞춤형구매자가이드를생성하는GPT-5mini의특화버전으로구동되는ShoppingResearch도구를출시했습니다.Perplexity는11월25일PayPal통합이적용된쇼핑어시스턴트를선보였으며,5,000개가넘는가맹점에대한즉시결제를제공합니다.Google는11월중순AIMode와Gemini앱을통해자동가격추적과가까운매장에전화를걸어재고를확인할수있는기능등에이전트기반의쇼핑기능을도입했습니다.​소매업체들,검색전략조정이러한변화는소매업체들이디지털존재감을재고하도록만들고있다."과거월3~4개의새로운블로그게시물을발행하던브랜드들이이제는100개또는200개를목표로하고있습니다"라고생성형엔진플랫폼Eune.ai의CEO인브라이언스템펙(BrianStempeck)은말했다.일부소매업체들은소비자에게는보이지않는웹사이트를구축하고있으며,이는AI스크래퍼가제품정보를추출할수있도록독점적으로설계되었다.​현재ChatGPT로부터주요소매업체로의트래픽은10월센서타워(SensorTower)데이터에따르면전체사이트방문의1%미만을유지하고있다.그러나세일즈포스(Salesforce)는사이버위크(CyberWeek)기간동안AI가전세계매출730억달러에영향을미칠것으로예상하며,이는전체매출의22%에해당한다.​
452
0
2025.11.27
중국 AI 모델이 전 세계 다운로드에서 미국을 앞질러
중국 AI 모델이 전 세계 다운로드에서 미국을 앞질러
매사추세츠공과대학교(MassachusettsInstituteofTechnology)와허깅페이스(HuggingFace)의공동연구에따르면,중국인공지능(AI)모델이글로벌다운로드에서처음으로미국개발자를앞질러,시장점유율17%를차지한반면미국창작자는15.8%에머문것으로나타났습니다.이변화는AI의미래를형성하기위한경쟁에서중대한순간을의미하며,딥시크(DeepSeek)와알리바바그룹홀딩스(AliababaGroupHoldingLimited)의Qwen모델이주도하고있습니다.이모델들은자주업데이트되며비용효율적인대안을제공함으로써점차인기를얻고있습니다.​보안취약점경고발령중국모델채택의급증은심각한보안우려를불러일으켰습니다.사이버보안기업CrowdStrike가11월20일발표한연구에따르면,DeepSeek의AI모델은티베트,위구르족또는베이징이문제시하는기타주제에대한정치적으로민감한참조가포함된프롬프트를받을때훨씬더많은안전하지않은코드를생성하는것으로나타났습니다.DeepSeek은중립적인경우19%의취약한코드를생성했지만,티베트의산업제어시스템용코드를작성하도록요청받았을때그수치는27.2%로급증했습니다.이러한결함은모델의추론프로세스가완료된후에나타나는것으로보이며,이는불량한훈련데이터가아닌내재된편향을시사합니다.​연구들은또한중국공산당과의명확한이념적정렬을문서화했으며,모델들이대만이나천안문사건과같은민감한주제에대한콘텐츠생성을거부하는것으로나타났습니다.신미국안보센터(CenterforNewAmericanSecurity)의연구원JanetEgan은"중국이오픈모델분야에서상당한진전을이루고있다는사실은미국에경종을울려야합니다"라고말했습니다.​전략적분기가경쟁을촉진하다중국의오픈소스전략은미국주요기술기업들의접근방식과뚜렷한대조를이룹니다.OpenAI,Google,그리고Anthropic은가장진보된모델에대해엄격한통제를유지하며,폐쇄형시스템을통한인공일반지능개발과구독을통한수익창출에집중해왔습니다.Meta는이전에Llama모델로오픈소스AI의선두주자였으나,"초지능"을추구하면서폐쇄형모델개발로방향을전환했습니다.​한편,중국기업들은부분적으로Nvidia고급칩에대한미국의수출규제로인해오픈소스릴리스를추진하게되었습니다.이로인해중국개발자들은더혁신적인접근방식을채택하게되었으며,미국연구소들의전형적인반년또는연간주기와비교하여매주또는격주로모델변형을릴리스하고있습니다.​AllenInstituteforAI는11월에Olmo3를미국의최신오픈소스AI기여작으로릴리스했지만,이는이분야에서몇안되는주요미국노력중하나를나타냅니다.벤처캐피털기업AndreessenHorowitz에투자제안을하는AI스타트업의최대80%가현재중국오픈소스모델을사용하고있다고파트너MartinCasado가밝혔으며,이는이분야에서중국의증가하는우위가미치는실질적인영향을강조합니다.
457
0
2025.11.27
텐센트, AI 기반 3D 모델링 엔진 전 세계 출시
텐센트, AI 기반 3D 모델링 엔진 전 세계 출시
Tencent는11월25일Hunyuan3D제작엔진의글로벌출시를발표하며,전세계창작자들에게며칠이아닌몇분만에고품질자산을생성할수있는AI기반3D모델링도구를제공합니다.이중국기술대기업의플랫폼은사용자들이텍스트설명,이미지또는스케치로부터3D모델을생성할수있게하며,일반적으로수주가걸리던기존제작일정을몇분으로대폭단축시킵니다.​Hunyuan3DModelAPI는이제TencentCloud를통해전세계기업들에게제공되며,게임개발,전자상거래,영화제작,광고및3D프린팅등의분야에적용됩니다.개인사용자는Hunyuan3DGlobal플랫폼에서매일20회의무료생성을받으며,TencentCloud를통해API에접근하는기업고객은200개의무료크레딧을받습니다.​기업도입및시장상황중국본토의150개이상의기업이이미TencentCloud를통해Hunyuan3D모델을통합했으며,여기에는UnityChina,소비자용3D프린팅회사인BambuLab,그리고중국최대AI콘텐츠제작플랫폼인Liblib이포함됩니다.이번출시는전세계3D모델링시장이2025년까지64억달러에달할것으로예상되는가운데이루어졌으며,AI기반도구가게임,전자상거래,AR/VR산업전반에서필수적인요소가되고있습니다.​Hunyuan3D시리즈는Tencent가2024년11월여러오픈소스3D모델을출시한이후인정받아왔으며,HuggingFace에서300만건이상의커뮤니티다운로드를달성하고세계에서가장인기있는오픈소스3D모델중하나로자리매김했습니다.최신버전인Hunyuan3D3.0은고품질자산제작에중점을두고있으며,특화된Hunyuan3DWorld모델은게임및가상현실을위한대규모인터랙티브환경구축을지원합니다.​기술적역량및통합이플랫폼은전문가급편집기능을지원하며OBJ및GLB를포함한주요3D형식으로출력되고,Unity,UnrealEngine및Blender와같은전문소프트웨어와원활하게통합됩니다.Tencent에따르면,멀티모달엔진은기하학과텍스처를위한분리된생성아키텍처를사용하며,2단계프로세스에서전용대규모모델을사용하여더욱정교한기하학적구조와더풍부한텍스처색상을생성합니다.
465
0
2025.11.27
에픽 CEO, 스팀은 AI 표시 레이블을 없애야 한다고 발언
에픽 CEO, 스팀은 AI 표시 레이블을 없애야 한다고 발언
에픽게임즈의CEO팀스위니는11월26일,스팀과같은게임스토어들이AI생성콘텐츠공개레이블을제거해야한다고공개적으로주장했다.그는"인공지능이거의모든미래제작과정에관여할것이기때문에"해당레이블이"아무런의미가없다"고말했다.그의이발언은시네마틱디자이너맷워크맨의질문에트위터(X)에서답변하는과정에서나왔으며,빠르게확산되는AI활용을앞두고게임개발의투명성논란을다시불러일으켰다.​스위니는AI태그가"저작권공개를위한예술전시와,구매자가권리상황을이해해야하는디지털콘텐츠라이선스마켓플레이스"에만관련있다고언급했다.워크맨은당초11월13일"스팀과모든디지털마켓플레이스는'AI로제작됨'레이블을없애야한다"며,지금은더이상그런구분이중요하지않다고주장했다.​확대되는산업격차이댓글들은Steam의접근방식과EpicGamesStore의접근방식사이의뚜렷한대조를강조합니다.Steam은2024년1월에의무적인AI공개요구사항을도입하여,개발자들이사전생성또는실시간생성AI콘텐츠를사용했는지명시하도록요구했습니다.이러한공개정보는이제ArcRaiders와같은스토어페이지에눈에띄게표시되며,개발자들이"콘텐츠제작을돕기위해절차적및AI기반도구를사용했다"고명시하고있습니다.​EpicGamesStore에는이러한라벨링시스템이없습니다.최근데이터에따르면Steam의약7,818개게임—플랫폼카탈로그의약7%—이현재AI사용을공개하고있으며,2025년에출시된게임5개중1개가이기술을통합하고있습니다.이는2024년대비8배증가한수치입니다.​개발자반발과소비자우려Sweeney의입장은AI공개를정보에입각한구매결정에필수적이라고보는개발자들과플레이어들로부터비판을받았습니다.주요퍼블리셔들이개발에AI를점점더통합함에따라,인디스튜디오들은자신들을"AI프리"로마케팅하기시작했으며,자신들의작업을차별화하기위해배지와인증마크를만들고있습니다.PolygonTreehouse는생성형AI도구를사용하지않는개발자들을위해"NoGenAISeal"을출시했습니다.​AI생성음성사용으로반발에직면한ArcRaiders의반응이후논쟁은더욱격화되었습니다.플레이어들과비평가들은특히성우작업과시각자산에대해게임이이기술을사용할때투명성을반복적으로요구해왔으며,일자리대체와예술적진정성에대한우려를제기하고있습니다.
468
0
2025.11.27
회원가입
아이디/비밀번호 찾기