마틴 파울러가 짚은 '바이브섹' - AI 코딩 시대, 보안 청구서가 날아온다

바이브 코딩이 만든 보안 청구서

요즘 개발자들 사이에서 "바이브 코딩(Vibe Coding)"이라는 말, 한 번쯤 들어보셨을 거예요. OpenAI 출신 안드레이 카파시가 던진 표현인데요, AI한테 "이런 기능 만들어줘" 하고 던지면 코드가 술술 나오는 시대를 가리켜요. 함수 이름이나 구조를 일일이 고민하지 않고, 그냥 흐름(vibe) 따라 받아쓰는 거죠. 누가 보면 마법 같지만, 마틴 파울러는 최근 글에서 "이제 그 청구서가 보안 쪽으로 날아올 시기"라고 경고했어요. 그가 붙인 이름이 VibeSec Reckoning, 우리말로 옮기면 "바이브 보안의 결산일" 정도가 되겠네요.

왜 지금 '결산일'이라고 부를까

파울러의 핵심 주장은 이래요. AI 코드 생성기가 빨라지면서 코드 양은 폭발적으로 늘었는데, 그걸 검토하는 속도는 그대로라는 거예요. 예전에는 한 줄 한 줄 직접 타이핑하면서 "이거 위험하지 않나?" 하고 자연스럽게 검토가 됐는데요, 지금은 LLM이 만들어 준 함수를 통째로 받아쓰는 경우가 많아요. 그렇게 들어온 코드 중에는 SQL 인젝션을 막지 못하는 쿼리, 인증을 우회할 수 있는 로직, 비밀번호를 평문으로 저장하는 코드도 섞여 있어요. 모델은 "그럴듯한" 답을 만드는 데 능숙하지, "안전한" 답을 보장하지는 않거든요.

또 하나 무서운 건 의존성 환각(dependency hallucination)이에요. AI가 존재하지도 않는 npm 패키지 이름을 슬쩍 추천하는 경우가 있는데, 공격자가 그 이름으로 악성 패키지를 미리 등록해 두는 슬롭스쿼팅(slopsquatting) 공격이 실제로 등장하고 있어요. "AI가 시켜서 설치했더니 백도어였다"라는 시나리오가 더 이상 농담이 아닌 거죠.

기존 보안 체계의 사각지대

파울러가 짚는 또 다른 포인트는, 기존의 SAST(정적 분석)나 SCA(소프트웨어 구성 분석) 같은 도구들이 AI 코드 폭증을 따라가지 못한다는 점이에요. 보안팀은 일주일에 PR 100개를 봤는데, 갑자기 500개가 쏟아져 들어오면 사람 손으로 다 못 봐요. 그래서 등장한 게 AI로 AI 코드를 검사하는 접근인데요, 모델끼리 검토를 주고받다 보니 누락되는 취약점도 생겨요. 같은 모델이 만들고 같은 모델이 점검하면, 같은 종류의 실수를 함께 놓치는 거죠.

특히 컨텍스트가 부족한 상태에서 만들어진 코드는 더 위험해요. 어떤 회사의 인증 로직은 사내 SSO와 묶여야 안전한데, AI는 그걸 모르고 일반적인 JWT 검증 코드를 만들어 줘요. 동작은 하지만 회사의 위협 모델에는 맞지 않는, 그런 코드가 쌓이는 거예요.

업계는 어디로 가고 있을까

이런 문제 의식은 파울러만 가진 게 아니에요. GitHub의 Copilot Autofix, Snyk DeepCode, Semgrep의 AI 룰 추천 같은 도구들이 "AI가 만든 코드를 AI가 빠르게 잡아낸다"는 방향으로 진화하고 있어요. 동시에 OWASP는 LLM Top 10이라는 새 가이드라인을 내놨고, 클라우드 업체들도 AI 코드 워크플로우 안에 "policy as code"를 끼워 넣고 있죠. 코드를 받기 전에 "이 회사의 보안 정책에 맞는가"를 자동으로 검증하는 흐름이에요.

또 흥미로운 건 휴먼 인 더 루프가 다시 강조되고 있다는 점이에요. 한때 "AI가 다 한다"는 분위기였는데, 보안 영역에서는 "마지막 결정은 사람이 한다"는 원칙이 다시 살아나고 있어요. 코드 리뷰 문화를 강화하고, 보안 챔피언(security champion) 제도를 두는 회사가 늘고 있는 것도 같은 맥락이에요.

한국 개발자라면 무엇을 챙길까

당장 할 수 있는 건 세 가지예요. 첫째, AI가 추천하는 패키지는 반드시 실제로 존재하는지, 다운로드 수와 메인테이너가 신뢰할 만한지 확인하세요. 무심코 npm install을 하기 전에 깃허브 저장소에 들어가 보는 습관이 중요해요. 둘째, 사내에 코드 리뷰 체크리스트를 갖춰 두고, "AI 생성 여부"를 PR 템플릿에 표시하게 해 두면 좋아요. 어떤 코드가 AI에서 왔는지를 알면 검토 강도를 다르게 가져갈 수 있거든요. 셋째, Semgrep이나 CodeQL 같은 무료 정적 분석 도구를 CI에 붙여두는 거예요. 시간이 없을수록 자동화된 그물망이 필요해요.

마무리

파울러의 메시지를 한 줄로 요약하면 "AI가 빠르게 만든 빚은 결국 보안팀이 갚게 된다"예요. 속도의 시대일수록, 멈춰서 한 번 더 보는 습관이 결국 회사를 살리는 거죠. 여러분의 팀은 AI 생성 코드를 어떻게 검토하고 있나요? "그냥 돌아가니까 머지"가 일상이 되고 있다면, 지금이 바로 결산일이 시작된 시점일지도 몰라요.