AI 코딩 툴로 만든 수천 앱서 기업·개인 정보 유출
원제: Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web
왜 중요한가
AI 자동 코딩 도구의 보급으로 보안 취약성이 대량 양산되고 있어 기업 데이터 보호 대책 마련이 시급함을 시사한다.
보안연구팀이 Lovable, Replit 등 AI 개발도구로 제작된 웹앱 5천여 개를 분석한 결과, 인증 없이 누구나 접근 가능한 상태로 의료정보, 금융데이터, 기업 전략문서 등 민감정보가 노출됨을 발견했다고 발표했다.
사이버보안업체 RedAccess의 도르 즈비 연구팀은 AI 코딩 플랫폼 Lovable, Replit, Base44, Netlify로 제작된 웹앱 수천 개를 분석해 5천여 개가 보안 인증 없이 공개 접근 가능한 상태임을 발견했다. 이 중 약 40%가 민감 데이터를 노출하고 있으며, 병원의 의사 개인정보가 포함된 업무 배정표, 기업의 광고 구매 정보, 회사 전략 프레젠테이션, 고객 챗봇 대화 로그 등이 포함됐다. 연구팀은 구글과 빙 검색을 통해 해당 AI 플랫폼 도메인에서 호스팅되는 앱들을 쉽게 찾아낼 수 있었다고 밝혔다. 일부 앱은 이메일 주소만으로 로그인이 가능한 수준의 취약한 보안을 적용했다. 즈비 연구원은 '바이브 코딩 애플리케이션을 통해 조직들이 실제로 개인 데이터를 유출하고 있다'며 '전 세계 누구나 기업이나 기타 민감 정보에 노출되는 사상 최대 규모 사건 중 하나'라고 평가했다. Lovable에서는 Bank of America, Costco 등을 가장한 피싱 사이트들도 다수 발견됐다.