AI가 만든 CRM, 보안은 0점
Cursor나 Bolt에게 "고객 관리 시스템 만들어줘"라고 하면 CRUD는 잘 만든다. 문제는 인증과 권한이다. AI는 "작동하는 코드"를 만들지, "안전한 코드"를 만들지 않는다.
2026년 상반기, 바이브코딩으로 만든 CRM에서 고객 정보가 유출된 사례가 국내에서만 12건 보고됐다. 대부분 1인 개발자나 스타트업이다.
가장 흔한 CRM 취약점 5가지
1. API 엔드포인트 인증 누락
/api/customers, /api/orders 같은 경로에 인증 없이 접근 가능한 경우가 많다. AI가 프론트엔드에서 데이터를 불러오는 코드는 만들지만, 백엔드 인증 미들웨어를 빼먹는다.
# 이렇게 치면 고객 정보가 그대로 나온다
curl https://your-crm.com/api/customers
# [{"name":"홍길동","phone":"010-1234-5678","email":"hong@..."}]
2. Supabase/Firebase RLS 미설정
바이브코딩 CRM의 83%가 Supabase를 쓰는데, RLS(Row Level Security)를 설정하지 않으면 anon key만으로 전체 테이블을 읽을 수 있다.
3. 관리자 페이지 경로 예측 가능
/admin, /dashboard, /manage — AI가 만든 관리자 경로는 뻔하다. 여기에 인증까지 없으면 누구나 고객 데이터를 볼 수 있다.
4. 검색 API에 SQL Injection
고객 검색 기능에서 입력값을 그대로 쿼리에 넣는 코드를 AI가 생성하는 경우가 있다. ORM을 쓰더라도 raw query를 섞어 쓰면 위험하다.
5. 개인정보가 JavaScript에 노출
고객 목록을 프론트엔드에서 필터링하려고 전체 데이터를 JSON으로 내려보내는 패턴. 브라우저 개발자 도구만 열면 전체 고객 DB를 볼 수 있다.
개인정보보호법 위반 시 과태료
개인정보 유출 시 최대 5,000만원 과태료 + 형사처벌 가능. "AI가 만들어서 몰랐다"는 변명이 안 된다. 개인정보처리자(사업주)에게 관리 책임이 있다.
30초 만에 CRM 보안 점검하기
CodeScan CRM 보안 진단은 개인정보 노출, 인증 취약점, 개인정보보호법 준수 여부를 자동으로 점검한다.