로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
599
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 94 페이지
빅테크의 AI 확대가 탄소배출권 공급 부족 초래
빅테크의 AI 확대가 탄소배출권 공급 부족 초래
(퍼플렉시티가정리한기사)업계전문가들에따르면,인공지능인프라에서발생하는배출량을상쇄하려애쓰는기술기업들로인해고품질탄소제거크레딧의유례없는부족현상이발생하고있으며,이시장에대한수요가공급을크게앞질러기후목표달성에점점더중요해지고있다.마이크로소프트()와알파벳의구글()은지난2년간대규모매수로내구성탄소제거크레딧의가격을일반삼림보존에의한상쇄크레딧보다거의4배가까이상승시켰다고복수의소식통이브라질벨렝에서열린COP30기후정상회의에서전했다.CDR.fyi시장추적자에따르면,이들기업은2019년이후탄소를장기간포획·저장하는탄소제거프로젝트에100억달러를썼으며,대부분의구매가최근24개월동안이루어졌다.​공급부족심화공급부족이심각해지고있습니다.2024년에는구매자들이800만톤의내구성탄소제거를구매했지만,2025년에는그수치가현재까지2,500만톤으로급증했습니다.그러나실제로발급된내구성탄소제거크레딧은100만톤미만이며,주로바이오차프로젝트에서나왔습니다.​"높은품질에대한수요는매우현실적이며,숫자에서도이를확인할수있습니다."라고탄소등록기관이소메트릭의최고상업책임자인루카스메이가말했습니다.플랫폼데이터에따르면수요와공급의불일치가드러납니다.바이오차는기후테크기업패치를통한크레딧요청의3분의1을차지했지만,공급부족으로실제판매는20%도되지않았습니다.산림복원크레딧은25%가요청됐으나실제로는12%만판매되었습니다.​이러한부족현상은AI기반데이터센터의급속한확장에서비롯됐습니다.테크기업들이인공지능을구동할인프라를구축하면서종종화석연료를사용해,온실가스배출량이수익증가와함께치솟고있습니다."AI가수익을견인하고,수익이투자를견인하고있다"고패치의최고경영자브레넌스펠라시가COP30부대행사에서말했습니다.​시장반응일부기업들은자체공급을창출함으로써대응하고있다.주요기술고객들을위한서비스를제공하는PureDataCentresGroup은영국윌트셔에위치한영국최대의바이오차시설에2,400만파운드를투자할계획이며,이시설은12월완전히가동되면연간18,500톤의탄소를제거할것으로예상된다.​“우리는장기적인수계약을통해혁신,금융,그리고배치의선순환을촉진할수있도록강력한수요신호를보냅니다,”라고마이크로소프트대변인은말했다.“대규모프로젝트를앵커링함으로써새로운공급을견인하고,다른기업구매자들에게도진입여지를남겨둡니다.”​전문가들은공급부족이도전적이긴하지만,초기탄소제거시장에대한투자에필수적인재정적유인을제공한다고말한다.알파벳은논평을거부했다.
767
0
2025.11.19
무신사, AI 리터러시 강화 위해 개발자 대거 채용
무신사, AI 리터러시 강화 위해 개발자 대거 채용
(퍼플렉시티가정리한기사)패션이커머스플랫폼무신사가전사적으로인공지능(AI)기술도입을본격화하며개발자채용을확대한다고19일밝혔다.급변하는이커머스시장에서기술경쟁력을확보하기위해개발,기획,디자인등직무전반에AI도구를도입하고,이를뒷받침할기술인재확보에나서는것이다.​무신사는올해하반기부터'AI리터러시(AILiteracy)'강화를핵심과제로삼고업무전반에AI기술을활용하고있다.무신사,29CM,솔드아웃등팀무신사가운영하는플랫폼의안정적인구축과서비스품질고도화가목표다.​개발부터콘텐츠제작까지AI전면도입테크부문개발인력들은코드생성과분석과정에서AI기반클로드(Claude),커서(Cursor),주니(Junie)등의서비스를활용중이다.플랫폼기획,디자인,운영영역에서도AI를적극활용하고있다.방대한패션빅데이터를통한트렌드분석과마케팅콘텐츠제작에AI기반이미지·영상제작툴을운용하며,일본과중국등해외시장진출과정에서필요한상품후기번역및다국어지원에도AI를활용하고있다.​무신사는지난8월사내AI해커톤'무슨사이(MUSNSAI)'를개최해새로운개발문화를제안했으며,11월13일OpenAI가주최한'데브데이익스체인지서울(DevDayExchangeSeoul)'행사에참가해ChatGPT기반상품추천및후기요약앱,에이전트기반상품추천시스템등을선보였다.​기술인재확보에속도무신사는AI역량강화를위해전용채용플랫폼'무신사커리어스'를통해백엔드,프론트엔드,머신러닝(ML),SRE,데이터분야엔지니어를상시채용하고있다.프로덕트매니저와테크니컬프로덕트매니저등주니어·시니어개발자도모집중이다.​전준희무신사테크부문부사장은"AI리터러시강화는이제선택이아닌필수가됐다"며"기술혁신이무신사의성장을이끄는새로운동력이될것이며,지속적인기술투자를통해국내는물론글로벌시장에서도더나은쇼핑경험을제공하는패션이커머스대표기업이될것"이라고밝혔다.
784
0
2025.11.19
구글, 에이전트 우선 코딩 IDE인 Antigravity 출시
구글, 에이전트 우선 코딩 IDE인 Antigravity 출시
(퍼플렉시티가정리한기사)Google는2025년11월18일에Antigravity를공개했습니다.이는에이전트-퍼스트무료통합개발환경으로,AI를단순한보조자에서능동적인개발파트너로격상시킴으로써개발자가소프트웨어를만드는방식을근본적으로변화시킵니다.Gemini3Pro위에구축되었으며,Windsurf에서온기술로구동됩니다.Windsurf의CEO바룬모한과핵심팀은7월에24억달러에Google에인수되었습니다.Antigravity는자율에이전트에게에디터,터미널,브라우저에직접접근할수있도록하며,이들이복잡한소프트웨어작업을독립적으로계획,실행,검증할수있게합니다.​에이전트우선아키텍처가개발자워크플로우를재정의하다기존의AI코드어시스턴트가사이드바를차지하는것과달리,Antigravity는에이전트매니저를주요인터페이스로위치시킵니다.이플랫폼은세가지독특한"서피스"를도입합니다:여러자율에이전트를오케스트레이션할수있는에이전트매니저대시보드,익숙한VisualStudioCode스타일의에디터,그리고에이전트가웹애플리케이션을실시간으로테스트할수있도록스크린샷과녹화를통해깊은크롬브라우저통합을제공합니다.​"Antigravity는개발자가작업공간전반에걸쳐에이전트를관리하면서,기본적으로친숙한AIIDE경험을유지하면서더높은작업지향적수준에서작업할수있도록합니다."라고Google은출시발표에서밝혔습니다.이플랫폼의에이전트는개발자가아키텍처와전략적결정에집중하는동안,새로운기능구현부터코드디버깅,문서생성에이르기까지여러단계의개발작업을자율적으로처리할수있습니다.​이IDE는작업목록,구현계획,브라우저스크린샷,실행녹화등검증가능한결과물인"Artifacts"를도입합니다.이러한투명성메커니즘은에이전트가무엇을만들었고어떻게테스트했는지에대한구체적인증거를개발자에게제공함으로써,단순히완성된코드를보여주는대신AI가생성한코드에대한중요한신뢰의격차를해소합니다.​기업도입가속화초기기업고객들은생산성향상을보고하고있습니다.JetBrains는Gemini3Pro를통합했을때벤치마크작업해결수에서"Gemini2.5Pro대비50%이상개선"을관찰했다고밝혔습니다.GitHub은초기VSCode테스트에서"소프트웨어엔지니어링과제해결정확도가Gemini2.5Pro보다35%높았다"고보고했습니다.​Cursor,Figma,Replit,Shopify,ThomsonReuters등다양한개발플랫폼이이미Gemini3Pro를통합하고있습니다.Box의CTO벤쿠스(BenKus)는Gemini3Pro가"BoxAI가조직지식을해석하고적용하는방식을혁신할새로운수준의멀티모달이해력,계획수립,도구호출을제공한다"고말했습니다.​현재MacOS,Windows,Linux에서무료로공개프리뷰중인Antigravity는Gemini3Pro뿐아니라Anthropic의ClaudeSonnet4.5및OpenAI의GPT-OSS모델도지원합니다.이플랫폼은5시간마다새로고침되는넉넉한속도제한을제공하며,Google은"매우소수의파워유저들"만이제한을경험할것이라고밝혔습니다.
816
0
2025.11.19
틱톡, 사용자가 피드의 AI 콘텐츠를 제어할 수 있도록 허용
틱톡, 사용자가 피드의 AI 콘텐츠를 제어할 수 있도록 허용
(퍼플렉시티가정리한기사)TikTok은11월18일사용자들이피드에표시되는AI생성콘텐츠의양을조절할수있도록허용할것이라고발표했으며,이는인공적으로생성된콘텐츠의유입에대한사용자불만에대응하는소셜플랫폼의증가추세에동참하는것이다.이동영상공유앱은또한기존탐지방법을우회하는AI콘텐츠를더잘식별하기위해고급"비가시워터마킹"기술을테스트하고있다.​새로운제어및탐지기술앞으로몇주안에출시될이기능은TikTok의기존"주제관리"도구내의콘텐츠환경설정(ContentPreferences)에서확인할수있습니다.사용자는슬라이더를이동하여스포츠나음식등카테고리피드를사용자정의하듯AI생성콘텐츠를더많이또는더적게볼수있습니다.플랫폼측은이컨트롤이"피드내의콘텐츠를완전히제거하거나교체하는것이아니라,피드내의다양한콘텐츠범위를사용자가조정할수있도록설계된것"이라고밝혔습니다.​TikTok은이제AI생성으로라벨링된동영상이13억개이상에달한다고공개했습니다.이미회사는AI콘텐츠를태그하기위해C2PAContentCredentials(산업전반의메타데이터시스템)을사용하고있지만,이러한라벨은다른플랫폼에서동영상이다시편집되거나업로드될때제거될수있습니다.이번에도입되는새로운보이지않는워터마크는TikTok만읽을수있으며,플랫폼의AIEditorPro도구로생성된콘텐츠와ContentCredentials를포함하는업로드에추가됩니다.​이런조치는핀터레스트(Pinterest)가'AI슬롭'이피드를도배한다는비판을받은뒤,10월에특정카테고리에서AI생성이미지를제한할수있는컨트롤을도입한것과유사합니다.두이니셔티브모두MetaPlatforms,Inc.(메타)와OpenAI가AI로만생성된영상콘텐츠만제공하는전용플랫폼(Vibes와Sora)을론칭하며반대방향으로나아가는시점에등장했습니다.​AI확산에대한산업계의대응TikTok은"AI가개인이창의성을표현하는방식을혁신할수있다고믿는다"고강조하면서도투명성의중요성을강조했다.이회사는책임있는AI관행에초점을맞춘비영리단체인PartnershiponAI,그리고GirlsWhoCode와같은단체들과파트너십을맺어교육콘텐츠를제작하기위한200만달러규모의AI리터러시기금을발표했다.​11월18일더블린에서열린TikTok신뢰및안전포럼에서전문가들은폭력적극단주의자들이플랫폼가이드라인위반을피하는메시지를생성하여콘텐츠조정을회피하기위해생성형AI를사용하고있다고경고했다.이회사는AI라벨링발표와함께독일에서극단주의관련용어를검색하는사용자를위한새로운교육프롬프트를도입했다.
743
0
2025.11.19
회원가입
아이디/비밀번호 찾기