바이브 코딩으로 만든 앱, 해킹까지 걸리는 시간은 딱 하루
“프롬프트 몇 줄이면 앱 하나 뚝딱"이라는 말, 올해 들어 정말 많이 들으셨을 겁니다. 이른바 바이브 코딩의 시대입니다. 문제는 이렇게 만든 앱이 해킹당하기도 ‘뚝딱’이라는 겁니다. AI가 만들어준 코드 속에 숨어 있는 보안 구멍, 지금부터 하나씩 뜯어보겠습니다.
바이브 코딩이 뭐길래 다들 난리인가
바이브 코딩은 말 그대로 ‘분위기로 코딩하기’입니다. ChatGPT, Claude, Cursor 같은 AI 도구에 “이런 앱 만들어줘"라고 말하면, AI가 코드를 통째로 생성해주는 방식이죠. 프로그래밍을 전혀 모르는 사람도 하루 만에 SaaS 서비스를 런칭할 수 있게 됐습니다.
실제로 비개발자 창업자들이 바이브 코딩으로 MVP를 만들고, 투자를 받고, 사용자를 모으는 사례가 쏟아지고 있습니다. 코딩 부트캠프 수강 대신 AI에게 맡기면 되니까요. 빠르고, 싸고, 그럴듯합니다.
그런데 한 가지 빠진 게 있습니다. 보안입니다.
AI가 만든 코드, 왜 뚫리기 쉬운가
AI 코딩 보안을 다룬 한 유튜브 채널에서는 AI 생성 앱이 해킹당할 수 있는 경로를 8가지나 정리했습니다. 그중 가장 흔한 문제들을 보면 고개가 끄덕여집니다.
첫째, API 키 하드코딩입니다. AI는 “작동하는 코드"를 만드는 데 집중합니다. 그래서 API 키를 환경변수로 분리하지 않고 코드에 그대로 박아넣는 경우가 많습니다. 이걸 GitHub에 공개 저장소로 올리는 순간, 전 세계 봇들이 자동으로 긁어갑니다.
둘째, 입력값 검증 부재입니다. 사용자가 입력창에 악성 스크립트를 넣으면 그대로 실행되는 XSS 취약점, SQL 인젝션 같은 기본적인 보안 조치가 빠져 있는 경우가 허다합니다. AI는 “일단 돌아가게” 만들어주지, “안전하게” 만들어주진 않거든요.
셋째, 인증과 권한 관리의 허점입니다. 로그인은 만들어줬는데, 다른 사람의 데이터를 URL만 바꾸면 볼 수 있는 식입니다. IDOR(Insecure Direct Object Reference)이라 불리는 이 취약점은 비개발자가 절대 스스로 발견할 수 없는 종류의 문제입니다.
비개발자 창업자가 빠지는 함정
바이브 코딩의 가장 큰 위험은 기술적 문제가 아닙니다. **“잘 모른다는 사실을 모른다”**는 겁니다.
코드를 직접 짜본 개발자라면 “여기는 보안 처리를 해야 하는데"라는 감각이 있습니다. 하지만 프롬프트로만 앱을 만든 사람은 그런 감각 자체가 없습니다. 앱이 예쁘게 돌아가면 끝이라고 생각하기 쉽죠.
실제로 이런 시나리오가 벌어지고 있습니다. 비개발자가 AI로 결제 기능이 포함된 SaaS를 만듭니다. 사용자가 모이기 시작합니다. 그런데 어느 날 고객 데이터가 통째로 유출됩니다. 원인을 보니 데이터베이스에 인증 없이 접근할 수 있었던 겁니다. AI가 Firebase 규칙을 테스트 모드 그대로 둔 채 배포한 거죠.
이건 상상이 아닙니다. 보안 커뮤니티에서 반복적으로 경고하고 있는 패턴입니다.
SaaS 생태계 전체의 보안 부채
문제는 개인 차원에서 끝나지 않습니다. AI 코딩이 SaaS 생태계 전체의 보안 수준을 낮추고 있다는 지적이 나옵니다.
기존에는 앱을 만들려면 최소한의 개발 지식이 필요했습니다. 그 과정에서 보안 기본기도 어느 정도 쌓였죠. 하지만 바이브 코딩은 그 학습 과정을 완전히 건너뜁니다. 결과적으로 보안 구멍이 있는 앱이 시장에 대량으로 쏟아지게 됩니다.
이걸 보안 부채라고 부릅니다. 기술 부채가 나중에 유지보수 비용으로 돌아오듯, 보안 부채는 해킹 사고와 데이터 유출로 돌아옵니다. 그리고 그 비용은 앱을 만든 사람이 아니라 사용자가 치르게 됩니다.
한 보안 전문 유튜버는 이렇게 표현했습니다. AI 코딩이 소프트웨어 개발의 진입장벽을 낮춘 만큼, 보안 사고의 진입장벽도 함께 낮아졌다고요.
그래서 어떻게 해야 하나
바이브 코딩 자체를 막을 수도, 막을 필요도 없습니다. 다만 몇 가지는 반드시 챙겨야 합니다.
AI에게 보안도 함께 요청하세요. “로그인 기능 만들어줘” 대신 “OWASP Top 10 기준으로 안전한 로그인 기능 만들어줘"라고 프롬프트를 바꾸는 것만으로도 결과가 달라집니다. AI는 시키는 만큼만 합니다.
자동 보안 스캔 도구를 돌리세요. Snyk, SonarQube 같은 도구는 코드를 읽지 못해도 쓸 수 있습니다. GitHub에 코드를 올리면 자동으로 취약점을 찾아주는 서비스도 많습니다.
민감한 데이터를 다루는 기능은 전문가 리뷰를 받으세요. 결제, 인증, 개인정보 처리 같은 부분은 AI 코드를 그대로 쓰면 안 됩니다. 프리랜서 보안 감사라도 한 번은 거쳐야 합니다.
바이브 코딩은 소프트웨어 민주화의 상징처럼 보입니다. 누구나 만들 수 있는 시대. 하지만 “누구나 만들 수 있다"와 “누구나 안전하게 만들 수 있다"는 완전히 다른 문장입니다. AI가 코드를 대신 써주는 시대에, 보안의 책임은 여전히 사람의 몫입니다. 여러분이 바이브 코딩으로 만든 그 앱, 한 번쯤 보안 점검을 받아보신 적 있으신가요?