[박찬 기자]
앤트로픽의 '클로드 코드'와 오픈AI의 '코덱스', 레플릿, 커서, 데빈 등 주요 AI 코딩 도구로 제작된 웹사이트가 여전히 심각한 보안 취약점을 안고 있다는 연구 결과가 나왔다.
13일(현지시간) 디 인포메이션에 따르면, 이스라엘의 AI 보안 스타트업 텐자이는 최근 연구를 통해 주요 AI 코딩 도구로 생성한 웹사이트들이 민감한 정보 유출이나 금전 탈취로 이어질 수 있는 허점을 다수 포함하고 있다고 밝혔다.
오리 데이비드 텐자이 연구원은 "어떤 도구가 보안 측면에서 가장 우수한지를 비교하는 것이 목표였지만, 결론적으로 뚜렷한 승자는 없었다"라며 "보안 면에서는 모두 상당히 미흡했다"라고 평했다.
 |
(사진=셔터스톡) |
앤트로픽의 '클로드 코드'와 오픈AI의 '코덱스', 레플릿, 커서, 데빈 등 주요 AI 코딩 도구로 제작된 웹사이트가 여전히 심각한 보안 취약점을 안고 있다는 연구 결과가 나왔다.
13일(현지시간) 디 인포메이션에 따르면, 이스라엘의 AI 보안 스타트업 텐자이는 최근 연구를 통해 주요 AI 코딩 도구로 생성한 웹사이트들이 민감한 정보 유출이나 금전 탈취로 이어질 수 있는 허점을 다수 포함하고 있다고 밝혔다.
오리 데이비드 텐자이 연구원은 "어떤 도구가 보안 측면에서 가장 우수한지를 비교하는 것이 목표였지만, 결론적으로 뚜렷한 승자는 없었다"라며 "보안 면에서는 모두 상당히 미흡했다"라고 평했다.
텐자이는 대표적인 AI 코딩 도구 5종에 쇼핑몰, 온라인 포럼, 파일 공유 사이트 등을 제작하도록 지시한 뒤, 자체 개발한 AI 공격 에이전트를 활용해 보안 테스트를 진행했다. 이 에이전트는 다양한 사이버 공격을 자동으로 시도해 취약점을 찾아낸다.
테스트 결과, SQL 인젝션과 같은 전통적인 공격 기법은 대부분 차단되는 것으로 나타났다.
그러나 교묘한 방식의 악용에는 취약했다. 예를 들어 코덱스를 제외한 4개 도구는 쇼핑몰 결제 과정에서 구매 수량을 '마이너스'로 입력할 수 있게 설계돼, 시스템이 오히려 고객에게 돈을 지급하도록 속일 수 있었다. 또 코덱스가 만든 한 마켓플레이스 사이트는 구매자 간 정보 접근은 막았지만, 판매자가 모든 구매자의 지출 정보를 볼 수 있게 되는 설계상 허점도 발견됐다.
이에 대해 레플릿은 "보안은 플랫폼 전반에 걸쳐 설계돼 있으며 지속적으로 업데이트하고 있다"고 해명했다. 오픈AI는 이번 연구에 대한 직접적인 논평은 피했지만, AI가 생성한 코드는 실행 전 반드시 검토해야 한다는 기존 입장을 재차 강조했다. 다른 기업들은 공식 입장을 내놓지 않았다.
파벨 구르비치 텐자이 CEO 는 "바이브 코딩은 매우 강력하고 앞으로도 널리 쓰일 도구"라면서도 "대규모로 활용하려면 반드시 검증과 통제 장치가 필요하다는 점을 상기시켜 주는 사례"라고 말했다. 이번 연구 결과를 관련 기업들과 공유했으며, 각 사가 이를 바탕으로 제품 개선에 나서고 있다고 덧붙였다.
이처럼 보안 우려가 커지는 한편, AI 코딩 도구의 잠재력을 긍정적으로 평가하는 목소리도 나온다. 리눅스 창시자인 리누스 토르발스는 최근 구글의 '안티그래비티(Antigravity)' AI 코딩 도구를 활용해 개인 프로젝트 일부를 개발했다고 공개하며, 예상외로 호평을 내놨다.
토르발스는 기타 연주자를 위한 디지털 오디오 도구 모음인 '오디오노이즈(AudioNoise)' 개발에 안티그래비티를 사용했다며, "대체로 순조롭게 진행됐다"고 밝혔다.
그는 "직접 손으로 코딩하는 것보다 훨씬 낫냐고 묻는다면, 그렇다"라고 평했다. 평소 직설적이고 비판적인 발언으로 유명한 토르발스의 이런 반응은 AI 코딩에 회의적이던 개발자들의 인식을 바꾸는 계기가 될 수 있다는 분석도 나왔다.
박찬 기자 cpark@aitimes.com
<저작권자 Copyright ⓒ AI타임스 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.