AI 바이브 코딩이 부른 보안 재앙 — IT 에이전시가 경고하는 진짜 위험 (tobru.ch)

한줄 요약

AI 바이브 코딩은 개발 속도를 높이지만, 보안 설계 없이 만든 시스템은 기업과 사용자 모두를 위협한다.

AI 바이브 코딩(Vibe Coding)이란, 코딩 지식 없이 AI 도구에 자연어로 명령을 내려 소프트웨어를 만드는 방식이다. 진입 장벽이 사라지면서 누구나 앱을 뚝딱 만들 수 있게 됐다. 문제는 그 앱이 실제 서비스 환경에 배포될 때 시작된다. IT 개발 에이전시 입장에서 보면, 이 흐름이 반갑지만은 않다. 우리가 수년에 걸쳐 체득한 보안 설계와 아키텍처 원칙이 AI 한 줄 명령에 통째로 생략되고 있기 때문이다.

AI가 코드를 짜준다고 해서 '개발'이 되는 건 아니다

AI 코딩 도구는 놀랍도록 빠르게 동작하는 코드를 만들어낸다. 화면도 그럴듯하게 나오고, 데이터도 저장된다. 그래서 비전문가 눈에는 "완성된 서비스"처럼 보인다.

하지만 에이전시에서 수십 개의 프로젝트를 운영해 본 입장에서 보면, AI가 생성한 코드에는 공통적으로 빠지는 것들이 있다.

• 접근 제어(Access Control): 누가 어떤 데이터에 접근할 수 있는지에 대한 서버 측 검증이 없거나 클라이언트 코드에만 의존한다.
• 데이터 암호화: 저장되는 데이터, 전송되는 데이터 모두 암호화 없이 평문으로 처리되는 경우가 많다.
• API 키 관리: 민감한 키가 프론트엔드 코드에 하드코딩되어 그대로 외부에 노출된다.
• 법적 컴플라이언스: 개인정보보호법, 의료정보 관련 규정, 데이터 처리 계약 등은 AI가 코드를 짜는 과정에서 고려되지 않는다.

AI는 "작동하는 코드"를 만드는 데 최적화되어 있다. "안전하게 작동하는 코드"는 다른 문제다.

비전문가의 바이브 코딩이 특히 위험한 세 가지 이유

1. 모르는 것을 모른다

보안 취약점의 가장 큰 문제는 당사자가 위험을 인식하지 못한다는 점이다. 데이터베이스에 인증이 없다는 사실을 모르면 확인조차 하지 않는다. AI 도구는 "이 구성이 보안적으로 취약합니다"라고 경고하지 않는다. 명령받은 대로 만들 뿐이다.

2. 문제가 생겼을 때 대응 능력이 없다

보안 이슈가 발견되어도 코드를 이해하지 못하면 정확한 수정이 불가능하다. 외부에서 취약점을 지적받았을 때, AI에게 다시 물어보거나 표면적인 조치만 취하는 경우가 대부분이다. 근본 원인을 해결하지 않은 채 겉만 막는 식이다.

3. 법적 책임은 AI가 지지 않는다

개인정보가 유출되거나 민감 데이터가 무단으로 외부 서비스에 전달된 경우, 책임은 오롯이 서비스 운영자에게 돌아온다. "AI가 만든 코드라서 몰랐다"는 해명은 법적으로 통하지 않는다. 특히 의료, 금융, 교육 분야처럼 민감 정보를 다루는 영역에서는 법적 제재가 즉각적으로 따를 수 있다.

에이전시가 바이브 코딩 프로젝트에서 자주 발견하는 구조적 결함

실제 에이전시 프로젝트 현장에서 바이브 코딩으로 만들어진 결과물을 검토해 보면 패턴이 반복된다.

데이터베이스가 인터넷에 직접 노출되어 있다. 별도의 API 레이어 없이 프론트엔드가 데이터베이스에 직접 쿼리를 날리는 구조다. 누구든 요청 방식만 알면 전체 데이터에 접근할 수 있다.

인증 로직이 클라이언트에만 존재한다. 로그인 여부를 서버가 검증하지 않고 브라우저 코드에서만 처리한다. 브라우저 개발자 도구로 몇 줄만 수정하면 인증 우회가 가능하다.

서드파티 AI API에 민감 데이터가 그대로 전송된다. 사용자 입력, 녹음 파일, 개인 정보가 별도 계약이나 고지 없이 외부 AI 서비스로 넘어간다. 이 데이터가 어떻게 처리되는지 운영자도 모른다.

이 중 하나만 있어도 심각한 보안 사고다. 셋 다 있으면 그건 사고가 아니라 사고 예정 시스템이다.