AI가 만든 코드의 홍수: ‘바이브 코딩’이 왜 보안과 기술 부채 문제로 이어지나

보안 위험: 더 많은 취약점이 실제 서비스로

가장 큰 우려는 보안이다.

보안 연구자들은 AI 생성 코드와 연관된 취약점이 실제로 증가하고 있다고 보고한다. 예를 들어 2026년 3월 한 달 동안만 AI 생성 코드와 직접 관련된 CVE 취약점이 최소 35건 새로 등록됐다.

또한 여러 연구에서는 AI 코딩 도구가 학습 데이터에 포함된 취약한 코드 패턴을 그대로 재생산하는 경향을 확인했다.

대형 모델을 대상으로 한 테스트에서는 생성된 코드 샘플의 약 45%가 OWASP Top 10 범주의 보안 취약점을 포함하는 것으로 나타났다.

비밀 정보 유출도 문제다. 실제 개발 워크플로 분석 결과:

• AI 보조 커밋의 비밀 정보 노출 비율: 3.2%
• 인간만 작성한 커밋의 비밀 정보 노출 비율: 1.5%

즉 AI가 관여한 코드가 두 배 이상 더 자주 자격 증명을 노출했다.

이러한 패턴은 취약한 코드, 잘못된 설정, 노출된 키가 실제 운영 환경까지 전달될 가능성을 높인다.

OpenClaw 사례: 인터넷에 노출된 AI 에이전트

이 위험은 AI 에이전트 기반 시스템에서 더욱 분명하게 드러난다.

오픈소스 AI 어시스턴트 플랫폼 OpenClaw는 보안 연구자들이 자주 언급하는 사례다.

조사 결과 인터넷에서 수만 개의 OpenClaw 인스턴스가 공개적으로 접근 가능한 상태로 발견됐으며, 상당수가 잘못된 설정이나 구버전 소프트웨어 때문에 장악될 수 있는 상태였다.

일부 스캔에서는 21,000개 이상의 공개 인스턴스가 발견됐고, 잘못 구성된 시스템에서는 다음 정보가 노출된 사례가 보고됐다.

• API 키
• OAuth 토큰
• 평문 자격 증명

문제는 여기서 끝나지 않는다. 플랫폼의 확장 기능 생태계를 조사한 결과 약 4,000개의 스킬 패키지 중 283개(약 7.1%)가 자격 증명 처리와 관련된 심각한 결함을 포함하고 있었다.

이 사례는 강력한 AI 에이전트를 충분한 보안 설계 없이 배포할 경우 어떤 일이 벌어지는지를 보여준다. 잘못 구성된 AI 에이전트는 사실상 연동된 시스템을 제어하는 공개 제어판이 될 수 있다.

개발자들이 ‘비전문 사용자’를 걱정하는 이유

많은 엔지니어는 문제의 핵심이 AI 도구 자체가 아니라 사용 방식이라고 말한다.

전통적인 개발 환경에서는 코드를 작성하는 사람이 다음을 이해한다고 가정한다.

• 시스템 구조
• 의존성
• 보안 경계

하지만 바이브 코딩은 이 가정을 흔든다.

코드를 제대로 읽거나 분석할 수 없는 사람도 AI가 만든 애플리케이션을 실행할 수 있기 때문이다. 이 경우 다음과 같은 문제를 인식하지 못할 수 있다.

• 숨겨진 보안 취약점
• 안전하지 않은 인증 흐름
• 위험한 의존성 체인
• 특정 상황에서 발생하는 오류

실제로 이런 시스템은 데모에서는 잘 작동하지만 실제 환경에서는 문제가 터지기 쉽다. 개발자들은 이를 종종 **“해피 패스 소프트웨어”**라고 부른다. 이상적인 조건에서는 작동하지만, 현실의 다양한 상황에서는 쉽게 실패하는 시스템이다.

장기적 비용: 폭발적으로 늘어나는 기술 부채

AI가 만든 코드가 정상적으로 작동하더라도 **기술 부채(technical debt)**는 빠르게 쌓일 수 있다.

AI 도구는 개발자 한 명이 생성하는 코드량을 크게 늘린다. 그 결과 조직은 더 큰 코드베이스를 관리해야 한다.

만약 그 코드가 다음과 같은 문제를 포함한다면 상황은 더 복잡해진다.

• 중복 로직
• 일관되지 않은 설계 패턴
• 부족한 문서화

이 경우 이후 기능 변경이나 보안 수정 비용은 훨씬 더 커진다.

보안 연구자들은 이 현상을 **“보안 부채(security debt)”**라고 부르기도 한다. 취약점이 발견되고 수정되는 속도보다 더 빠르게 누적되는 상황이다.

요약하면 생산성 이득은 즉시 나타나지만 유지보수 비용은 나중에 나타난다.

과학 연구에서도 나타나는 비슷한 문제

비슷한 구조는 과학 연구에서도 나타나기 시작했다.

AI는 이미 다음과 같은 연구 작업에 사용되고 있다.

• 논문 탐색
• 가설 생성
• 논문 초안 작성
• 피어리뷰 지원

일부 연구에서는 대형 언어 모델이 실험적으로 검증 가능한 새로운 과학 가설을 생성할 수 있다는 결과도 있다.

그러나 인간 연구자와 AI가 만든 가설을 비교한 대규모 연구에서는 AI가 생성한 가설이 실제 실험 검증에서는 더 낮은 성과를 보이는 경향이 발견됐다.

학술 출판계에서도 우려가 커지고 있다. 2026년 학술지 Science의 한 사설은 AI 사용이 충분히 공개되거나 검증되지 않으면 학술 기록의 신뢰성이 약화될 수 있다고 경고했다.

진짜 병목은 인간의 판단

소프트웨어 개발과 과학 연구 모두에서 핵심 문제는 같다.

AI는 생산 비용을 크게 낮춘다.

• 코드
• 논문
• 가설
• 설계

하지만 평가 비용은 여전히 인간 전문가에게 의존한다.

즉 결과물을 만드는 것은 거의 공짜에 가까워졌지만, 그 결과가 신뢰할 만한지 판단하는 능력은 여전히 희소한 자원이다.

이 불균형이 커질수록 시스템은 그럴듯하지만 신뢰하기 어려운 결과물로 넘쳐나게 된다.

소프트웨어에서는 이것이 취약한 코드와 불안정한 시스템으로 나타난다. 과학에서는 검증되지 않은 가설과 낮은 품질의 논문 증가로 이어질 수 있다.

따라서 조직과 연구기관의 과제는 단순히 AI 도구를 도입하는 것이 아니다. 폭발적으로 늘어나는 결과물을 통제할 검토 체계, 보안 관행, 거버넌스를 구축하는 것이다.

그렇지 않으면 생산성 혁신은 결국 **“바이브 슬롭”**이라는 새로운 문제로 돌아올 수 있다.