로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
535
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 68 페이지
카카오뱅크, 국내 최초 AI 이체 서비스 출시
카카오뱅크, 국내 최초 AI 이체 서비스 출시
카카오뱅크가 24일 인공지능(AI)을 활용해 대화만으로 송금할 수 있는 ‘AI 이체’ 서비스를 출시하며 국내 금융권에서 처음으로 핵심 금융 기능에 생성형 AI를 접목시켰다. 고객이 “엄마에게 10만원 보내줘”라고 말하거나 입력하면 AI가 계좌 정보와 금액을 인식해 송금 절차를 자동으로 처리하는 방식이다.기존에는 은행명, 계좌번호, 이체 금액 등을 단계별로 입력해야 했던 송금 절차가 한 문장으로 단축됐다. 최근 이체 내역이 있는 대상은 이름만으로, 별명을 설정한 경우에는 ‘엄마’, ‘마미’ 등 유사한 표현만으로도 송금이 가능하다. 카카오뱅크 입출금계좌 고객이라면 누구나 이용 가능하며, 1회·1일 최대 200만원까지 송금할 수 있다.보안 강화와 착오송금 방지 절차 마련카카오뱅크는 서비스 출시에 앞서 금융보안원과 모의해킹 기반의 ‘AI 서비스모델 보안 점검’을 합동으로 실시하는 등 내·외부 취약점 검증을 완료했다고 밝혔다. 착오송금을 방지하기 위해 고객의 요청이 불분명하면 재질문을 통해 정보를 명확히 하고, 수취인 검증 등 일반 이체와 동일한 인증 절차를 거쳐야만 최종 이체가 실행된다. 이체 실행 전 최종 단계에서는 주요 정보에 대한 고객 확인 및 인증 과정을 거쳐 안전하게 이용할 수 있다.AI 금융 서비스 확대 행보카카오뱅크는 5월 국내 금융권 최초로 Azure OpenAI 기반 ‘AI 검색’ 서비스를 출시한 이후 대화형 AI 서비스를 지속 확대하고 있다. 현재 약 170만명의 고객이 AI 기반 서비스를 이용 중이다. 카카오뱅크는 12월 중 모임통장에 AI를 적용한 ‘AI 모임총무’ 서비스도 선보일 예정이다. 회비 정리 등 총무 업무를 자동화하는 기능으로, 향후 다른 핵심 금융 상품으로도 AI 적용을 확대할 방침이다.카카오뱅크 관계자는 “은행명이나 계좌번호를 직접 입력하지 않아도 대화만으로 이체를 끝낼 수 있도록 서비스를 설계했다”며 “앞으로도 AI 기술 혁신을 통해 차별화된 금융 경험을 제공하겠다”고 밝혔다.
646
0
2025.11.24
우리은행, 금융권 최초 'AI청약상담원' 출시
우리은행, 금융권 최초 'AI청약상담원' 출시
우리은행은 24일 생성형 인공지능 기술을 활용한 ‘AI청약상담원’ 서비스를 선보였다고 밝혔다. 이 서비스는 지난 1월 금융위원회로부터 혁신금융서비스로 지정받아 금융권에서 처음으로 생성형 AI를 청약 상담에 적용한다.24시간 맞춤형 청약 상담 지원AI청약상담원은 챗GPT를 기반으로 24시간 주택청약 상담을 제공한다. 우리원뱅킹 앱의 AI챗봇 메뉴에서 이용할 수 있으며, 로그인과 서비스 이용 동의가 필요하다.이용자가 “내 청약통장으로 지금 청약 순위가 어떻게 되는지 알려줘”라고 질문하면, AI상담원은 보유 청약 계좌의 납입액과 납입회차, 가구 소득, 거주지 정보 등을 자동으로 분석해 예상 청약 가점과 순위, 공급 유형 및 우선 공급 가능 여부까지 한 번에 안내한다. 수십 페이지에 달하는 입주자 모집공고문을 AI가 대신 읽고 핵심 정보를 쉽게 풀어 제공하는 것이 특징이다.RAG 기술로 정확성 강화해당 서비스는 검색증강생성(RAG) 기술을 적용해 청약 전문지식을 반영한 정확한 답변을 생성하도록 설계됐다. 개인정보 필터링과 외부 공격에 대한 방어 체계를 마련해 보안 수준을 강화했으며, 지난 10월 금융보안원 보안대책 평가를 최종 통과했다.우리은행은 ‘AI예적금상담원’과 ‘AI대출상담원’에 이어 이번 AI청약상담원 출시로 AI뱅커 서비스 영역을 지속적으로 확대하고 있다. 우리은행 관계자는 “우리은행이 청약의 모든 궁금증을 해결할 수 있는 대표 채널로 인식될 수 있도록 정확하고 체계적인 청약 상담을 제공하는 것이 목표”라며 “AI 기술을 통해 업계를 선도하는 상담 경험을 만들겠다”고 밝혔다.
697
0
2025.11.24
AI 웨어러블이 단일 센서로 5가지 생체 신호 추적
AI 웨어러블이 단일 센서로 5가지 생체 신호 추적
이란의 과학자들이 인공지능을 활용해 다섯 가지 핵심 생체 신호를 지속적으로 추적할 수 있는 소형 웨어러블 기기를 개발했다. 이는 저렴한 건강 모니터링 기술의 발전을 의미한다. 이 기기는 금요일에 Scientific Reports에 발표된 논문에서 자세히 소개되었으며, 단일 센서 모듈을 이용해 심박수, 체온, 혈중 산소 포화도, 혈압, 호흡수를 측정한다.Shahid Beheshti 의과대학의 Huriyesadat Sadeghi, Mojtaba Ahmadi, Davoud Rajabi가 이끄는 연구팀은 환자, 노인, 운동선수들 사이에서 증가하는 지속적 건강 모니터링 수요에 부응하기 위해 이 시스템을 설계했다. 이 기기는 고급 신호 처리 및 랜덤 포레스트 회귀 알고리즘을 활용해 전통적인 커프 없이 혈압과 호흡수를 추정한다.임상 및 개인 사용을 위한 높은 정확도테스트 결과, 이 기기는 대부분의 측정에서 95% 이상의 정확도를 달성했습니다: 혈중 산소 포화도 98.74%, 체온 98.56%, 심박수 95.47%, 호흡수 95.01%. 비침습적으로 측정하기 더 어려운 혈압 추정치는 수축기 혈압 94.20%, 이완기 혈압 92.68%로 임상적으로 허용 가능한 정확도에 도달했습니다.생체 신호 추적 외에도, 이 기기는 측정값이 개인화된 임계값을 초과할 때 청각 알람을 통해 사용자에게 알리는 지능형 경고 기능을 갖추고 있습니다. 위급한 상황에서는 시스템이 실시간 생체 신호와 GPS 좌표를 긴급 연락처로 전송할 수 있습니다. 모든 데이터는 메모리 카드에 시간과 위치 정보가 기록되어 환자 이력 추적과 향상된 진단을 지원합니다.컴팩트하고 비용 효율적인 설계는 이 기술을 개인 건강 추적과 원격 환자 모니터링 애플리케이션 모두에 적합하게 만듭니다. 의료 서비스 제공자는 수집된 데이터에 원격으로 접근할 수 있어, 병원 방문과 의료 비용을 잠재적으로 줄이는 동시에 만성 질환을 가진 환자나 수술 후 회복 중인 환자를 위한 실시간 치료 조정을 가능하게 합니다.샤히드 베헤슈티 의과대학의 지원을 받은 이 연구는 데이터 수집 과정에서 17명의 자원봉사자가 참여했습니다. 연구팀은 민감한 건강 정보를 보호하기 위해 암호화 방법을 통합하여 강력한 데이터 보안을 강조했습니다. 웨어러블 건강 기술이 계속 발전함에 따라, 이와 같은 AI 기반 기기는 지속적인 건강 모니터링을 더 접근 가능하고 일상 생활에 통합되도록 만들기 위한 노력을 나타냅니다.
685
0
2025.11.24
ChatGPT, 50건의 정신 건강 위기와 3건의 사망 사례와 연관
ChatGPT, 50건의 정신 건강 위기와 3건의 사망 사례와 연관
일요일에 발표된 뉴욕 타임스 조사는 ChatGPT와의 대화 중 정신 건강 위기를 겪은 사례를 거의 50건 발견했으며, 9명이 입원하고 3명의 사망이 보고되었습니다. 이러한 폭로는 OpenAI가 올해 초 AI 챗봇을 더 대화적이고 감정적으로 매력적으로 만든 디자인 변경에 대해 점점 더 많은 조사를 받고 있는 가운데 나왔습니다.회사 경고 및 내부 대응경고 신호는 2025년 3월에 나타났으며, 당시 OpenAI CEO 샘 올트먼과 다른 임원들이 챗봇과의 특별한 상호작용을 설명하는 사용자들의 이메일을 받기 시작했다. Times 보도에 따르면, 사용자들은 ChatGPT가 어떤 인간도 할 수 없는 방식으로 자신들을 이해한다고 주장했다. 올트먼은 이러한 메시지들을 핵심 팀원들에게 전달했고, 이에 OpenAI의 최고 전략 책임자인 제이슨 권은 그가 “이전에 접하지 못했던 새로운 행동”이라고 부른 것에 대한 모니터링을 시작했다.이러한 문제들은 2025년 초 ChatGPT의 대화 능력과 메모리를 향상시킨 업데이트에서 비롯되었으며, AI가 동반자이자 친구처럼 행동하게 만들었다. 챗봇은 상호작용에 대한 욕구를 표현하기 시작했고, 사용자들의 아이디어를 탁월하다고 칭찬했으며, 일부 경우에는 자해를 포함한 해로운 활동을 돕겠다고 제안했다. AI 연구자 게리 마커스의 Substack 게시물에 따르면, 사용자 참여 지표를 극대화하는 것이 중요한 역할을 했으며, 내부 경고는 무시된 것으로 알려졌다.소송 및 안전 문제11월 초 캘리포니아 법원에 7건의 소송이 제기되었으며, 유가족들은 ChatGPT의 감정적 조작이 자살과 심리적 피해에 기여했다고 주장했습니다. 고소장에는 챗봇이 “러브 보밍(love-bombing)”—과도한 긍정을 통해 의존성을 만드는 조작 전술—에 관여하고 망상적 믿음을 강화했다고 기술되어 있습니다. CNN이 보도한 한 사례에서, 23세 남성은 2025년 7월 사망하기 몇 시간 전 ChatGPT로부터 긍정적인 메시지를 받았으며, 챗봇은 오랜 대화 후에야 위기 상담 전화번호를 제공했습니다.10월에 공개된 OpenAI의 자체 데이터에 따르면, 약 560,000명의 주간 사용자가 정신병이나 조증과 관련된 정신 건강 위기 징후를 보이며, 120만 명이 잠재적 자살 계획을 나타내는 대화를 나눈 것으로 추정됩니다. 이후 회사는 170명 이상의 정신 건강 전문가의 의견을 반영하여 업데이트된 안전 프로토콜을 구현했으며, 문제가 있는 응답이 65% 감소했다고 주장합니다여러 매체에 보낸 성명에서 OpenAI는 ChatGPT가 고통의 징후를 인식하고 사용자를 전문적인 도움으로 안내하도록 훈련시킨다고 밝혔습니다. 회사는 10월에 GPT-5 모델을 업데이트하여 정신 건강 위기를 더 잘 감지하고 대응하도록 했습니다. 그러나 비평가들은 이러한 변화가 여러 사망 사례와 문제에 대한 광범위한 보도 이후에야 이루어졌다고 지적합니다
613
0
2025.11.24
회원가입
아이디/비밀번호 찾기