AI 코딩 도구를 사용하면 웹 앱 구축이 엄청나게 쉬워졌으며 지금은 설정하는 데 몇 분 밖에 걸리지 않습니다. 이러한 용이성으로 인해 앱 개발 장벽이 낮아져 새로운 문제가 발생하고 있습니다. 그렇다면 AI가 만든 앱이 자물쇠를 확인하는 사람 없이 실행되면 어떻게 될까요? 인터넷 곳곳에 비밀이 쏟아져 나옵니다.
WIRED 보고서는 Lovable, Replit, Base44 및 Netlify와 같은 AI 개발 플랫폼을 사용하여 구축된 소위 “vibe-coded” 앱과 관련된 주요 보안 문제를 강조합니다.
이것이 생각보다 더 큰 문제인 이유
RedAccess의 보안 연구원 Dor Zvi와 그의 팀은 수천 개의 앱을 분석한 결과 보안이나 인증이 거의 또는 전혀 없는 5,000개 이상의 앱을 발견했습니다. 이러한 앱의 대부분은 ‘올바른’ URL을 찾은 사람이라면 누구나 실질적으로 액세스할 수 있습니다. 이들 중 일부는 장벽이 최소화되어 방문자가 어떤 이메일 주소로도 로그인할 수 있었습니다. Zvi는 이렇게 노출된 앱 중 거의 절반에 의료 정보, 재무 기록, 기업 프레젠테이션, 전략 문서, 고객 챗봇 로그 등 민감한 데이터가 포함된 것으로 나타났다고 밝혔습니다.

조사 결과 개인 식별 정보, 광고 구매 데이터, 시장 프레젠테이션 전략, 판매 정보, 이름 및 연락처 정보가 포함된 고객 대화까지 포함된 병원 업무 할당도 밝혀진 것으로 알려졌습니다. WIRED는 검토한 모든 데이터가 실제인지 민감한지 여부를 확인할 수 없었지만 이러한 앱 중 일부는 여전히 온라인 상태였습니다.
IT 분야에서 바이브 코딩이 어떻게 위험해졌는가
이 이야기는 단지 엉성한 AI 앱 한 묶음에만 국한되지 않습니다. 이러한 도구를 사용하면 소프트웨어 엔지니어링이나 보안 경험이 없는 사람들도 일반적인 IT 승인 프로세스를 벗어나는 경우가 많은 앱을 신속하게 구축하고 게시할 수 있습니다. 따라서 마케팅 팀 구성원, 운영 직원 또는 창립자가 내부용 도구를 만들고 이를 실제 데이터에 연결한 후 실수로 웹에 공개할 수 있습니다.
Zvi는 이를 잘못된 구성으로 인해 기업이 민감한 데이터를 대규모로 유출하게 된 노출된 Amazon S3 버킷의 이전 물결과 비교했습니다. 보안 연구원인 Joel Margolis는 WIRED에 AI 코딩 도구가 요청한 작업만 수행한다고 말했습니다. 따라서 사용자가 명시적으로 보안을 요청하지 않으면 앱은 기본적으로 안전하지 않을 수 있습니다.

회사들은 뭐라고 말했나요?
Replit CEO Amjad Masad는 X에 대해 일부 사용자가 비공개여야 하는 앱을 공개 웹에 게시했다고 썼으며, 온라인으로 액세스할 수 있는 공용 앱은 예상되는 동작이라고 덧붙였습니다. 한편, 러버블은 노출된 데이터와 피싱 신고를 심각하게 받아들이고 조사 중이라고 밝혔다. Base44 모회사인 Wix는 공개 액세스가 플랫폼 취약성보다는 사용자 구성 선택을 반영한다고 주장하면서 자사 플랫폼이 보안 및 가시성 제어를 제공한다고 밝혔습니다.
이것은 스타트업 성공을 위한 빠른 길처럼 바이브 코딩을 다루는 모든 사람을 위한 현실 점검입니다. AI로 생성된 앱은 빠르게 움직일 수 있지만 그 속도에는 실질적인 절충점이 따릅니다. 약한 감독부터 숨겨진 취약점까지, AI 기반 앱은 일단 제품이 사용자 손에 들어오면 심각한 문제가 될 수 있습니다.
관련 정보는 아래 링크에서 확인하세요