AI가 만든 앱 보안 공백이 청구서로 돌아온다

AI 코딩 도구로 주말 이틀 만에 앱을 만들어 출시한 창업자가 있었다. 3개월 뒤 AWS 청구서가 도착했다. 약 4,000만 원. 그가 발생시킨 트래픽이 아니었다. 공격자가 AI가 작성한 코드와 함께 공개 저장소에 올라간 AWS 액세스 키를 발견하고, GPU 인스턴스를 돌려 암호화폐를 채굴했던 것이다. 키는 삭제됐다. 청구서는 남았다.

이는 합성 시나리오다. 하지만 그 메커니즘은 아니다. 2025년 GitGuardian은 공개 GitHub 커밋에서 2,865만 개의 하드코딩된 자격증명을 발견했다 — 전년 대비 34% 증가, 역대 최대 단일 연도 증가폭이다.^[1] AI 보조 커밋은 순수 인간 작성 커밋보다 2.74배 높은 비율로 시크릿을 노출한다.

AI가 문제가 아니다

AI 코딩 도구는 빠르고 실제로 유용하다. 문제가 아니다.

문제는 범위(scope)다. AI는 요청한 것만 만든다. 사용자 파일을 저장하는 앱을 요청하면 그걸 만든다. S3 버킷이 공개적으로 목록 조회 가능한지 물어보지 않으면, 모델은 알려주지 않는다. 보안이 이 앱들에서 빠진 것은 실수가 아니다. 처음부터 요청되지 않았던 것이다.

2026년 iOS AI 빌드 앱 198개를 스캔한 결과, 196개가 잘못 설정된 클라우드 백엔드를 통해 사용자 데이터를 노출하고 있었다 — 98.9%의 실패율이다.^[2] AI가 나쁜 코드를 작성해서가 아니다. 개발자들이 안전한 기본값을 요청할 줄 몰랐기 때문이다.

가장 흔한 세 가지 취약점

2026년 초 약 5,600개의 AI 빌드 앱을 스캔한 결과, 2,000개 이상의 취약점과 400개 이상의 노출된 시크릿이 발견됐다.^[3] 거의 모든 사례에서 동일한 세 가지 실패 패턴이 반복됐다.

1. 과도한 클라우드 스토리지 권한

AI가 클라우드 스토리지를 구성할 때, s3:GetObject와 함께 s3:ListBucket을 부여하는 경우가 흔하다. 둘 다 작동하지만 의미는 전혀 다르다. GetObject는 특정 파일 하나를 다운로드한다. ListBucket은 누구든 버킷 안의 모든 객체를 열거할 수 있게 한다 — 사용자가 올린 모든 파일, 모든 청구서, 모든 내부 자산. AI 생성 클라우드 코드를 배포하는 개발자의 60%가 출시 전 권한 범위를 조정하지 않는다.^[4]

IAM 정책 한 줄로 해결된다. 놓치면 사용자가 저장한 모든 것이 노출된다.

2. 하드코딩된 자격증명

AI 모델은 패턴을 재사용한다. 2만 개의 AI 생성 앱 분석에서 문자열 supersecretkey가 1,182개 앱에 동일하게 나타났다.^[5] 더 위험한 것은 진짜 자격증명이다. 개발자가 컨텍스트를 위해 프롬프트에 붙여 넣은 API 키, DB 비밀번호, 액세스 토큰을 모델이 출력에 그대로 재현한다.

이 자격증명들은 버전 관리에 올라가고 공개 저장소에 노출된다 — 노출된 시크릿이 매년 34% 증가하는 이유다.

3. 해피패스만을 위한 인증 흐름

AI는 정상적인 사용자 로그인 흐름에 대한 인증 코드를 작성한다. CSRF 방어, 로그인 속도 제한, 토큰 만료, 로그아웃 시 세션 무효화는 명시적으로 요청하지 않으면 포함되지 않는다. 대부분의 창업자는 요청하지 않는다.

2026년 2월, AI 코딩으로만 구축된 소셜 네트워크 Moltbook이 Supabase 데이터베이스를 공개 읽기/쓰기로 설정한 채 배포한 사실이 드러났다. AI가 개발 중 허용적인 기본값을 구성했고, 창업자는 그대로 출시했다. 보안 회사 Wiz가 정기 스캔에서 이를 발견했다.^[6]

실제로 사업에 미치는 영향

대부분의 기사는 데이터 유출에서 멈춘다. 실제 피해는 더 넓다.

클라우드 요금 폭탄. 공격자가 액세스 키를 찾으면 GPU 인스턴스를 가동한다 — 표준 클라우드 사업자 기준 시간당 4,000~10,000원, 자동 상한선 없음. 키를 일주일 방치하면 감당하기 어려운 청구서가 생긴다.

랜섬웨어. 잘못 설정된 접근 제어 하나가 공격자에게 발판을 제공한다. 거기서 랜섬웨어가 배포된다. 중소기업의 평균 침해 비용은 약 $254,445(약 3억 3천만 원)이며,^[7] 공격받은 중소기업의 60%가 6개월 이내에 폐업한다.^[8] 이중 갈취 — 암호화 전 데이터 탈취 — 때문에 백업만으로는 보호되지 않는다.

법적 책임. 잘못된 설정으로 개인정보가 노출됐을 때 "AI가 만든 코드라서"는 법적 방어가 되지 않는다. 한국의 「개인정보보호법」과 「정보통신망법」은 기술적 보호 조치 의무를 부과하며, 위반 시 과징금과 행정 처분이 별도로 따른다.

봇넷 편입. EC2 인스턴스가 DDoS 봇넷 노드가 될 수 있다. AWS가 트래픽을 감지해 계정을 정지할 때야 비로소 알게 된다.

이 결과들 중 어느 것도 고도화된 공격자가 필요하지 않다. 스캐너, 스크립트, 그리고 잘못 설정된 앱이면 충분하다.

지금 바로 할 수 있는 네 가지

보안 배경 없이도 10분 이내에 할 수 있다.

1. 프로젝트 루트에서 grep -r "AKIA" .를 실행하라. 이 접두사는 모든 AWS 액세스 키에 나타난다. .env.example 외의 어디에서든 발견되면 노출된 키다 — 즉시 교체하고 이미 발견됐다고 가정하라.
2. S3 버킷 정책을 열어 s3:ListBucket이 있으면 제거하라. 파일 서빙에는 GetObject만으로 충분하다. ListBucket은 누구든 사용자의 모든 파일 목록을 조회할 수 있게 해주는 것이다.
3. 백엔드가 모든 보호 엔드포인트에서 토큰을 디코딩만 하는 게 아니라 서명을 검증하고 있는지 확인하라. AI 생성 인증 흐름은 로그인 시에는 토큰을 올바르게 발급하지만, 이후 요청에서 검증을 건너뛰는 경우가 많다 — 미들웨어가 decode가 아닌 verify를 호출하는지 확인하라.
4. 서명뿐 아니라 모든 토큰 클레임을 매 요청마다 검증하고 있는지 확인하라. 서명 검증 후에는 이메일 인증 여부, 계정 상태, 권한 클레임, 만료 시간이 로그인 때만이 아니라 모든 요청에서 확인되어야 한다. 미인증 이메일이나 정지된 계정의 토큰은 거부돼야 한다.

이 중 하나라도 문제가 발견되면, 계속 진행하기 전에 먼저 수정하라.

사전 보안 검토란

AI 빌드 앱을 위한 사전 보안 검토는 6개월짜리 감사가 아니다. 초기 앱이 실제로 노출하는 표면에 집중된 2~4시간 검토다 — 클라우드 권한 범위, 시크릿 관리, 인증 흐름, 외부 엔드포인트 노출. 결과물은 첫 실사용자 전에 수정할 항목의 우선순위 목록이다.

비용은 평균 침해 비용 3억 3천만 원에 비하면 미미하다.

가장 좋은 시기는 출시 전이다. 그다음으로 좋은 시기는 지금이다.

AI 코딩 도구로 앱을 개발하셨다면 한 가지 여쭤보고 싶습니다. 기능 동작 여부만 확인하셨나요, 아니면 인프라 보안 설정도 함께 검토해 달라고 요청하셨나요?

참고 자료

1. GitGuardian — State of Secrets Sprawl 2026
2. AI2Work — Vibe Coding's Security Reckoning: 380,000 Apps Expose Corporate Data
3. CSA Labs — Vibe Coding Security Crisis: Credential Sprawl and SDLC Debt
4. Apiiro — 4x Velocity, 10x Vulnerabilities: AI Coding Assistants Are Shipping More Risks
5. CSA Labs — AI-Generated Code Vulnerability Surge 2026
6. Barrack AI — Every AI App Data Breach Since January 2025
7. NinjaOne — 7 SMB Cybersecurity Statistics for 2026
8. spacelift.io — 60 Small Business Cybersecurity Statistics to Know in 2026