최근 GPT 등 AI를 이용해 애플리케이션(앱) 등을 만드는 '바이브 코딩'이 대중화하면서 보안이 취약해졌다는 우려가 커지고 있다.

인간이 충분히 검수하지 못할 경우, 기존 코드가 내포한 취약점이나 암호화 누락 등 조치가 그대로 새 코딩에 반영될 수 있다는 지적이다.

1일 '복잡계과학허브(CSH)' 등 국제 연구진이 최근 국제 학술지 '사이언스'에 발표한 "누가 AI로 코드를 작성하고 있는가? 생성형 AI의 세계적 확산과 그 영향" 논문에 따르면 최근 미국에서 AI를 활용해 작성된 파이썬 언어 기반 코드의 비율은 전체의 30% 이상일 것으로 추산된다.

연구진은 글로벌 최대 오픈소스 플랫폼 '깃허브(GitHub)'에 올라온 파이썬 코드 3000만건을 샘플로 분석했다. 미국·독일·프랑스·중국·러시아·인도 등 6개국의 16만 명 개발자들이 작성한 코드다.

분석 결과, AI를 이용한 코드 블록의 확산 속도가 매우 빠른 것으로 확인됐다. 미국의 경우 그 비중이 2022년 5%에서 2024년 말 29%까지 뛰었다. AI 보조 코드의 비율은 조사 대상 중 미국이 가장 높았고, 프랑스(24%)·독일(23%)·인도(20%)가 뒤를 이었다.

IT 강국들의 트렌드를 종합하면, AI가 전체 개발 업무의 최소 20%를 대체한 것이다. CSH 연구진은 미국으로만 한정해도, 생성형 AI 활용 코딩이 매년 약 230억~380억 달러의 부가가치를 창출하고 있다고 추산했다.

생산성 향상은 반길 만하지만, 문제는 앱 서비스의 보안이 취약해진다는 점이다.

SK쉴더스는 지난해 보고서를 통해 "아이디어 구현 단계에서는 문제가 없어 보이더라도 실제 앱 개발 이후 여러 보안 취약점이나 오류가 나올 수 있다"고 꼬집었다.

SK쉴더스는 AI로 로그인 기능을 구현하는 상황을 가정했다. 데이터베이스를 대상으로 한 '악의적 SQL 문구 삽입' 취약점이나 비밀번호 암호화 누락 등 문제가 그대로 반영될 수 있다고 SK쉴더스는 지적했다. 초보 개발자일수록 AI를 더 활용하는 경향이 있기 때문에 제대로 검수하지 못할 가능성이 크다.

SK쉴더스는 "보안 지식이 부족한 창업자가 만든 앱이 무분별하게 배포되면, 심각한 보안 사고나 대규모 해킹으로 이어질 가능성이 높다"고 전망했다.

보안 스타트업 텐자이(Tenzai) 역시 모든 인기 에이전트가 짠 코딩에서 취약점이 확인된다고 보고서를 통해 지적했다. 앤트로픽 클로드, 코덱스, 리플릿, 데빈 등 모델이 검토됐다.

이런 한계 탓에 최근엔 AI 코딩의 결함을 빠르게 찾아내 수정하고 전체적 흐름을 설계하는 최고급 개발자 수요가 느는 추세다.

근본적으로 앱 개발 시 사용자 입력값을 철저히 검증하고, 시스템 내부 정보가 에러 메시지를 통해 노출되지 않도록 하는 등의 '시큐어 코딩'이 필요하다. 데이터베이스 접속 시에는 최소한의 권한만 사용하도록 조치해야 한다.

개발팀 내에서 서로의 코드를 검토하고 피드백을 주고받는 인간의 검수도 강화해야 한다고 SK쉴더스는 강조했다.

바이브 코딩이 어쩔 수 없는 선택이라면, 모의해킹을 통해 취약점을 발굴하는 것도 대안으로 주목받고 있다.

SK쉴더스 측은 "바이브 코딩은 대부분 해외 거대언어모델(LLM)을 활용하기 때문에 국내 인터넷·모바일 환경에서 요구되는 결제·인증 규제 요건을 충분히 반영하지 못할 가능성이 크다"며 "해커가 사용하는 방식 그대로 서버 침투 테스트를 수행해 취약점 및 개인정보 유출 가능 경로 등을 파악할 수 있다"고 말했다.

legomaster@news1.kr