바이브코딩, 옛날 해커 습관으로 조금 더 안전하게 하는 법

바이브코딩이 뭐냐면요

요즘 개발자 사이에서 "바이브코딩(vibecoding)"이라는 말을 많이 쓰는데요, 이건 AI에게 대충 원하는 걸 설명하고 코드를 뚝딱 만들어내는 방식을 말해요. 코드의 세부 구현을 직접 작성하기보다는, AI와 대화하면서 "이런 느낌(vibe)으로 만들어줘"라고 하는 거죠. Cursor, Copilot, Claude Code 같은 도구들이 보급되면서 이 방식이 정말 빠르게 퍼지고 있어요.

근데 문제가 있어요. 바이브코딩으로 만들어진 코드를 개발자가 꼼꼼하게 리뷰하지 않는 경우가 많다는 거예요. AI가 만들어준 코드가 "일단 돌아가니까" 넘어가는 거죠. 이 블로그 글은 바로 이 지점에서, 예전 해커 세대가 가지고 있던 습관들을 빌려와서 바이브코딩을 조금이라도 더 안전하게 하자는 제안을 하고 있어요.

옛날 해커들의 습관이 왜 지금 필요한가

여기서 말하는 "해커"는 보안을 뚫는 사람이 아니라, 초기 인터넷과 오픈소스 시대의 프로그래머들을 뜻해요. 이 분들은 자기가 쓰는 도구를 깊이 이해하고, 코드를 읽는 능력을 매우 중요하게 여겼어요. "코드를 쓰는 시간보다 읽는 시간이 더 많다"는 말이 그때부터 나온 거예요.

바이브코딩 시대에 이 철학이 다시 중요해진 이유가 있어요. AI가 코드를 "쓰는" 부분을 대신해주면서, 개발자의 핵심 역할이 "코드를 읽고 검증하는 것"으로 이동하고 있거든요. 그런데 많은 개발자가 AI가 생성한 코드를 읽지 않고 넘어가요. 이건 마치 다른 사람이 써준 계약서에 내용을 안 읽고 사인하는 것과 같아요.

구체적으로 어떤 습관들을 말하는 건가

첫 번째는 "코드를 읽어라(Read the code)"예요. 당연한 말 같지만, 바이브코딩 환경에서는 AI가 수십, 수백 줄의 코드를 한 번에 생성하기 때문에 실제로 모든 줄을 읽는 사람이 생각보다 적어요. 최소한 AI가 생성한 코드의 핵심 로직, 특히 보안에 관련된 부분(인증, 권한 확인, 데이터 검증 등)은 반드시 직접 읽어야 해요.

두 번째는 "작게 나눠서 확인하라"예요. 한 번에 거대한 기능을 만들어달라고 하면 검증이 어려워요. 대신 작은 단위로 나눠서 요청하고, 각 단계마다 결과를 확인하는 거예요. 이건 예전 유닉스 철학의 "하나의 일을 잘 하는 작은 프로그램을 조합한다"는 원칙과도 맥이 닿아요.

세 번째는 "변경 사항을 diff로 확인하라"예요. git diff를 습관적으로 확인하는 건 옛날부터 좋은 개발자의 기본 습관이었는데, AI가 코드를 수정할 때도 마찬가지예요. AI가 "이 부분을 고쳤어요"라고 말하는 것만 믿지 말고, 실제로 어떤 줄이 바뀌었는지 diff를 직접 확인하세요.

네 번째는 "테스트를 먼저 작성하라"예요. AI에게 코드를 만들어달라고 하기 전에 테스트를 먼저 작성하면, AI가 생성한 코드가 최소한 기본적인 동작을 보장하는지 자동으로 검증할 수 있어요. TDD(테스트 주도 개발)가 바이브코딩 시대에 오히려 더 빛을 발하는 셈이죠.

다섯 번째는 "의존성을 경계하라"예요. AI가 npm 패키지나 라이브러리를 추천해서 설치하는 경우가 있는데, 그게 실제로 존재하는 패키지인지, 안전한 패키지인지 확인해야 해요. AI가 존재하지 않는 패키지 이름을 자신 있게 추천하는 경우(할루시네이션)도 있고, 이를 악용한 공급망 공격 사례도 보고되고 있거든요.

업계에서도 이 문제를 인식하기 시작했어요

AI 코드 생성의 보안 문제는 학계와 업계 모두에서 활발하게 논의되고 있어요. 스탠포드 연구에서는 AI 코드 어시스턴트를 사용한 개발자가 보안 취약점이 있는 코드를 더 많이 작성한다는 결과가 나오기도 했고요. GitHub Copilot, Cursor 같은 도구들도 보안 관련 기능을 강화하는 추세예요.

그리고 "AI가 작성한 코드의 책임은 누구에게 있는가"라는 질문도 점점 중요해지고 있어요. 결국 코드를 커밋하고 배포하는 건 사람이니까, AI가 만든 코드라도 개발자가 이해하고 검증한 코드여야 한다는 거죠.

한국 개발자에게 주는 시사점

한국에서도 AI 코딩 도구를 적극적으로 도입하는 팀이 늘고 있는데요, 특히 스타트업에서 빠르게 프로토타입을 만들 때 바이브코딩을 많이 하거든요. 속도는 중요하지만, 보안과 코드 품질을 완전히 포기하면 안 돼요.

팀 차원에서는 AI 생성 코드에 대한 리뷰 기준을 만들어보는 것도 좋겠어요. 예를 들어 "AI가 생성한 코드는 반드시 사람이 리뷰하고, 보안 관련 로직은 직접 작성한다" 같은 간단한 규칙만으로도 많은 문제를 예방할 수 있어요.

한줄 정리

AI가 코드를 대신 써주는 시대일수록, 코드를 읽고 검증하는 능력이 개발자의 핵심 역량이 돼요. 속도와 안전 사이에서 균형을 잡는 습관을 만들어가세요.

여러분은 바이브코딩할 때 어떤 검증 루틴을 가지고 계세요? AI가 만든 코드를 어디까지 믿고, 어디부터 직접 확인하시나요?