소프트웨어 개발 생산성을 끌어올리는 생성형 인공지능(AI)이 보안 위협을 동시에 키우는 ‘AI 패러독스’가 현실화하고 있다는 분석이 나왔다.
6일 네이버가 발간한 ‘2025 네이버 보안백서’에 따르면 개발 방식이 AI 중심으로 바뀌면서 보안 리스크도 빠르게 커지고 있다. 특히 개발자가 직접 코드를 구현하는 대신 AI에 의도를 전달해 결과물을 만드는 ‘바이브 코딩’이 코드 검증과 보안 점검의 공백을 일으키고 있다는 설명이다. 보고서는 “AI가 생성한 코드에서 입력값 검증 누락이나 비밀키를 코드 안에 그대로 넣는 ‘하드코딩’ 등 기본적인 취약점이 반복적으로 발견되고 있다”고 밝혔다.
‘AI 할루시네이션(환각)’을 노린 보안 위협도 퍼지고 있다. ‘슬롭스쿼팅’이 대표적이다. AI가 제안할 가능성이 있는 패키지 이름을 미리 등록한 공격자는 개발자가 정상 라이브러리로 착각해 설치하도록 유도하는 공격 방식이다. 최근에는 정찰·취약점 탐색·침투 등 공격 과정 대부분을 AI 에이전트가 수행하고 인간은 전략적 판단만 맡는 ‘자율형 공격’ 사례도 등장했다.
네이버는 보안 점검을 서비스 개발 초기 단계로 앞당기는 ‘시프트 레프트’ 전략으로 보안 위협을 극복하고 있다. AI가 코드 단계에서 취약점을 자동으로 탐지하고 수정 방안을 제시하는 식이다. 외부 보안 전문가가 취약점을 제보하면 보상금을 지급하는 ‘버그바운티’ 프로그램도 운영 중이다. 지난해 이 프로그램을 통해 255건의 보안 이슈를 발견해 조치했다.
안정훈 기자 ajh6321@hankyung.com
6일 네이버가 발간한 ‘2025 네이버 보안백서’에 따르면 개발 방식이 AI 중심으로 바뀌면서 보안 리스크도 빠르게 커지고 있다. 특히 개발자가 직접 코드를 구현하는 대신 AI에 의도를 전달해 결과물을 만드는 ‘바이브 코딩’이 코드 검증과 보안 점검의 공백을 일으키고 있다는 설명이다. 보고서는 “AI가 생성한 코드에서 입력값 검증 누락이나 비밀키를 코드 안에 그대로 넣는 ‘하드코딩’ 등 기본적인 취약점이 반복적으로 발견되고 있다”고 밝혔다.
‘AI 할루시네이션(환각)’을 노린 보안 위협도 퍼지고 있다. ‘슬롭스쿼팅’이 대표적이다. AI가 제안할 가능성이 있는 패키지 이름을 미리 등록한 공격자는 개발자가 정상 라이브러리로 착각해 설치하도록 유도하는 공격 방식이다. 최근에는 정찰·취약점 탐색·침투 등 공격 과정 대부분을 AI 에이전트가 수행하고 인간은 전략적 판단만 맡는 ‘자율형 공격’ 사례도 등장했다.
네이버는 보안 점검을 서비스 개발 초기 단계로 앞당기는 ‘시프트 레프트’ 전략으로 보안 위협을 극복하고 있다. AI가 코드 단계에서 취약점을 자동으로 탐지하고 수정 방안을 제시하는 식이다. 외부 보안 전문가가 취약점을 제보하면 보상금을 지급하는 ‘버그바운티’ 프로그램도 운영 중이다. 지난해 이 프로그램을 통해 255건의 보안 이슈를 발견해 조치했다.
안정훈 기자 ajh6321@hankyung.com
관련뉴스
