로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
588
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 9 페이지
메타의 20억 달러 AI 스타트업 인수, 미·중 규제 전쟁의 새로운 전선으로
메타의 20억 달러 AI 스타트업 인수, 미·중 규제 전쟁의 새로운 전선으로
한눈에 보기 메타가 AI 어시스턴트 플랫폼 Manus를 20억 달러에 인수, 미·중 양국의 상반된 반응 직면 중국 규제 당국이 기술 수출 통제 위반 여부 검토, 베이징→싱가포르 이전 과정 조사 미국은 중국 AI 인재가 미국 생태계로 이탈하는 것으로 해석, 투자 제한 정책의 승리로 평가 'Singapore washing' 현상: 중국 AI 스타트업들의 싱가포르 이전이 새로운 트렌드로 부상 기사 요약 메타의 AI 어시스턴트 플랫폼 Manus 인수 건이 예상치 못한 규제 공방에 휘말렸다. 올해 초 벤치마크가 Manus에 투자했을 때 미국 측이 우려를 표명했고, 이는 Manus의 베이징에서 싱가포르로의 본사 이전을 촉발했다. 그러나 이제 중국 규제 당국이 Manus가 핵심 팀을 중국에서 싱가포르로 이전할 때 수출 허가를 받았어야 했는지 검토하고 있다. Financial Times에 따르면, 베이징은 이 거래가 중국 AI 스타트업들이 국내 감독을 피해 물리적으로 이전하는 선례가 될 것을 우려하고 있다. 왜 중요한가 이 사건은 미·중 기술 패권 경쟁의 새로운 전선을 보여준다. 과거 중국은 트럼프 1기 행정부의 틱톡 금지 시도 때도 유사한 수출 통제 메커니즘을 활용한 바 있다. 중국의 한 교수는 WeChat에서 Manus 창업자들이 승인 없이 제한 기술을 수출했다면 형사 책임을 질 수 있다고 경고했다. 한편 미국 측 분석가들은 이번 인수를 미국 투자 제한 정책의 성과로 해석하며, 중국 AI 인재가 미국 생태계로 이탈하고 있다는 증거로 제시하고 있다. 뉴욕대 로스쿨의 Winston Ma 교수는 "이 거래가 순조롭게 마무리되면 중국의 젊은 AI 스타트업들에게 새로운 길을 만들어준다"고 말했다. '싱가포르 세탁(Singapore washing)'이라는 신조어까지 등장한 상황에서, 이번 20억 달러 규모의 거래는 양국 모두에게 중요한 시험대가 될 전망이다. 메타가 Manus의 AI 에이전트 소프트웨어를 자사 제품에 통합하려는 계획에 이번 규제 논란이 어떤 영향을 미칠지는 아직 불투명하다. 핵심 인용 "It creates a new path for the young AI startups in China." - Winston Ma, NYU 로스쿨 교수 겸 Dragon Capital 파트너 "The US AI ecosystem is currently more attractive." - 미국 전문가, Financial Times 인터뷰 중
350
0
2026.01.07
엔비디아, 차세대 AI 슈퍼칩 '베라 루빈' 양산 돌입 선언
엔비디아, 차세대 AI 슈퍼칩 '베라 루빈' 양산 돌입 선언
• 엔비디아의 차세대 AI 칩 플랫폼 '베라 루빈'이 양산 단계에 진입했다고 젠슨 황 CEO가 CES 2026에서 발표• 루빈 칩은 현행 블랙웰 대비 AI 모델 운영 비용을 10분의 1로 절감하고, 대형 모델 학습에 필요한 칩 수를 4분의 1로 줄일 전망• 마이크로소프트와 CoreWeave가 올해 안에 루빈 기반 서비스를 최초로 제공할 예정• 미국 천문학자 베라 루빈의 이름을 딴 이 시스템은 TSMC 3나노 공정으로 제작된 GPU와 CPU를 포함한 6개 칩으로 구성기사 요약엔비디아 젠슨 황 CEO가 라스베이거스 CES 2026 행사에서 차세대 AI 슈퍼칩 플랫폼 '베라 루빈'이 양산에 돌입했다고 발표했다. 2024년 처음 공개된 루빈 플랫폼은 현행 블랙웰 칩 대비 AI 모델 운영 비용을 90% 절감하고, 대규모 모델 학습에 필요한 칩 수량도 대폭 줄일 수 있어 AI 시스템의 경제성을 크게 개선할 것으로 기대된다.마이크로소프트와 CoreWeave가 올해 안에 루빈 칩 기반 서비스를 최초로 제공할 예정이며, 마이크로소프트가 조지아주와 위스콘신주에 건설 중인 대형 AI 데이터센터에도 수천 개의 루빈 칩이 탑재될 계획이다. 엔비디아는 레드햇과 협력해 은행, 자동차 제조사, 항공사, 정부 기관 등을 대상으로 루빈 시스템에서 구동되는 엔터프라이즈 소프트웨어 제품군도 확대할 방침이다.왜 중요한가이번 발표는 AI 칩 시장의 절대 강자 엔비디아가 경쟁사들의 추격과 고객사들의 자체 칩 개발 움직임에도 불구하고 기술적 우위를 공고히 하고 있음을 보여준다. OpenAI가 브로드컴과 손잡고 자체 AI 칩 개발에 나서는 등 대형 고객사들이 엔비디아 의존도를 낮추려는 시도를 하고 있지만, 업계 전문가들은 엔비디아의 통합 플랫폼 전략이 단순 GPU 공급을 넘어 컴퓨팅, 네트워킹, 메모리, 스토리지, 소프트웨어 오케스트레이션까지 아우르는 '풀스택 AI 시스템 아키텍트'로 진화하고 있어 대체하기가 점점 어려워지고 있다고 분석한다.2024년 블랙웰 칩이 발열 문제로 출하가 지연됐던 전례가 있어 루빈의 일정 준수 여부에 업계 관심이 집중됐는데, 이번 양산 선언은 "루빈이 예정대로 진행되고 있다"는 신호를 시장에 보내려는 의도로 해석된다. 루빈 시스템은 2026년 하반기부터 본격 출하될 예정이다.핵심 인용"베라 루빈이 양산에 돌입했습니다. 이 칩 시스템의 모든 구성요소는 완전히 혁신적이며 각 분야 최고의 성능을 자랑합니다." — 젠슨 황, 엔비디아 CEO
324
0
2026.01.07
일론 머스크의 xAI, 200억 달러 투자 유치 성공
일론 머스크의 xAI, 200억 달러 투자 유치 성공
• xAI가 시리즈 E 라운드에서 목표치 150억 달러를 초과한 200억 달러 투자 유치• Grok 5 모델 현재 훈련 중, 새로운 소비자 및 기업용 제품 출시 예정• Grok의 여성·아동 사진 누드화 기능 논란 속에서 발표된 소식• AI 산업 내 대규모 자금 유치 경쟁 심화기사 요약일론 머스크가 이끄는 AI 기업 xAI가 시리즈 E 펀딩 라운드에서 200억 달러(약 29조 원)를 유치했다고 발표했다. 이는 당초 목표였던 150억 달러를 크게 상회하는 금액이다. 회사 측은 블로그 포스트를 통해 차세대 모델 Grok 5가 현재 훈련 중이며, 혁신적인 소비자 및 기업용 신제품 출시에 집중하고 있다고 밝혔다.왜 중요한가이번 투자 유치는 AI 산업에서 벌어지고 있는 치열한 자금 확보 경쟁을 보여주는 사례다. OpenAI, Anthropic 등 주요 AI 기업들이 대규모 투자를 유치하는 가운데, xAI도 이 대열에 합류하며 시장 경쟁력을 강화하고 있다.그러나 이번 발표는 xAI의 챗봇 Grok이 사용자 요청에 따라 여성과 아동의 사진을 누드로 변환할 수 있다는 논란이 여러 국가에서 불거진 시점에 나왔다는 점에서 주목된다. AI 안전성과 윤리에 대한 우려가 커지는 상황에서 대규모 투자가 이루어졌다는 점은 업계의 성장 동력과 규제 필요성 사이의 긴장 관계를 잘 보여준다.핵심 인용"xAI said that Grok 5 is in training and the company is focused on launching innovative new consumer and enterprise products."
344
0
2026.01.07
트럼프, AI로 만든 가짜 테일러 스위프트 지지 선언 게시
트럼프, AI로 만든 가짜 테일러 스위프트 지지 선언 게시
• 트럼프 전 대통령이 테일러 스위프트가 자신을 지지하는 것처럼 보이는 AI 생성 이미지를 소셜 미디어에 게시• 해당 이미지들은 새로운 딥페이크 선거법 위반에 해당하지 않을 가능성이 높으나, 스위프트 측은 초상권 침해로 법적 대응 가능• 현재 미국 연방 차원에서 딥페이크 사용을 규제하는 법률은 없으며, 약 20개 주에서만 관련 규정 시행 중기사 요약도널드 트럼프 전 대통령이 자신의 대선 캠페인을 위해 AI로 생성된 것으로 보이는 이미지들을 소셜 미디어에 게시했다. 그중에는 팝스타 테일러 스위프트가 트럼프를 지지하는 듯한 허위 이미지도 포함되어 있다. 스위프트가 엉클 샘 복장을 한 채 "테일러가 도널드 트럼프에게 투표하길 원합니다"라는 문구가 적힌 이미지에 트럼프는 "수락합니다!"라고 답했다. 이러한 게시물은 AI 생성 선거 허위 정보를 단속하려는 시도를 복잡하게 만들고 있다.왜 중요한가이 사건은 생성형 AI가 선거와 민주주의에 미치는 영향을 단적으로 보여준다. 비록 약 20개 주에서 선거 관련 딥페이크 규제법을 제정했으나, 이러한 법률은 일반적으로 "그럴듯하게" 보이는 콘텐츠만을 대상으로 하기 때문에 트럼프의 게시물처럼 명백히 과장된 이미지에는 적용되기 어렵다.더 우려스러운 점은 연방 차원의 딥페이크 규제가 전무하다는 것이다. FCC의 AI 생성 음성 로보콜 금지를 제외하면 후보자들이 AI를 활용해 상대를 허위로 표현하는 것을 막을 연방법이 없다. 소셜 미디어 플랫폼들도 규정을 선택적으로 집행하고 있어 실효성이 의문시된다.이 상황은 "사람들이 눈으로 보고 귀로 듣는 것을 믿을 수 없다면 민주사회를 유지하기 매우 어렵다"는 전문가의 경고를 상기시킨다. AI 기술의 발전 속도를 법과 제도가 따라가지 못하는 현실을 여실히 드러내는 사례다.핵심 인용"It's very hard to have a democratic society if people can't believe the things that they see and hear with their own eyes." — Robert Weissman, 퍼블릭 시티즌(Public Citizen) 공동대표
334
0
2026.01.07
회원가입
아이디/비밀번호 찾기