AI 코드 생성의 보안 위험 증가

OX Security에 따르면, 업계는 코드가 보안보다 빠르게 배포되는 단계에 진입하고 있습니다. 'AI 코드 보안 위기 보고서'에 따르면, AI가 생성한 코드는 종종 깔끔하고 기능적으로 보이지만 구조적 결함을 숨기고 있어 시스템 보안 위험으로 발전할 수 있습니다.

OX는 GitHub Copilot, Cursor, Claude와 같은 AI 코딩 도구를 사용하는 50개를 포함하여 300개 이상의 소프트웨어 저장소를 분석했습니다. 연구자들은 AI 생성 코드가 인간이 작성한 코드보다 줄당 더 취약하지 않다는 것을 발견했습니다. 문제는 속도입니다.

코드 검토, 디버깅, 팀 기반 감독과 같은 병목 현상이 제거되었습니다. 한때 몇 달이 걸리던 소프트웨어가 이제 며칠 만에 완성되고 배포될 수 있습니다. 이 속도는 취약한 코드가 적절한 검토나 강화 없이 생산에 도달하게 만듭니다.

AI 도입 전에도 보안 팀은 과부하 상태였습니다. 보고서에 따르면 조직은 평균적으로 50만 개 이상의 보안 경고를 처리하고 있습니다. 이제 AI 지원 코딩의 속도가 남아 있는 통제를 무너뜨리고 있습니다.

연구는 AI 생성 코드에서 반복적으로 나타나는 10개의 '안티 패턴'을 식별합니다. 이는 오랜 보안 엔지니어링 관행을 위배하는 행동입니다. 일부는 거의 모든 프로젝트에서 발생하고, 다른 일부는 덜 자주 발생하지만 여전히 심각한 결과를 초래합니다.

연구자들은 AI 코드가 SQL 삽입이나 크로스 사이트 스크립팅과 같은 더 많은 취약점을 반드시 도입하지는 않는다고 밝혔습니다. 위험은 그것을 사용하는 사람에게 있습니다. AI 도구는 비기술적 사용자도 소프트웨어를 쉽게 만들 수 있게 하며, 이들은 인증, 데이터 보호 또는 노출 위험을 이해하지 못한 채 애플리케이션을 배포합니다.

보고서는 보안 지식을 AI 워크플로에 직접 통합할 것을 권장합니다. 이는 조직의 '보안 지침 세트'를 프롬프트에 추가하고, 아키텍처 제약을 강제하며, 개발 환경에 자동화된 안전 장치를 통합하는 것을 의미합니다. 코드가 몇 분 안에 다시 작성되고 배포될 수 있는 상황에서 반응적 스캔과 배포 후 감지는 충분하지 않을 것입니다.