바이브코딩, 편하지만 위험합니다
Cursor, Bolt, Lovable 같은 AI 코딩 도구로 앱을 만드는 '바이브코딩'이 대세입니다. 하지만 AI는 기능은 만들어도 보안은 신경 쓰지 않습니다.
Stanford 연구에 따르면 AI 생성 코드의 40%에 보안 취약점이 포함되어 있습니다.
TOP 10 취약점
1. API 키 하드코딩 (78%)
AI가 코드에 API 키를 직접 넣어버립니다. JavaScript에 포함된 키는 누구나 개발자 도구에서 볼 수 있습니다. 배포 후 평균 15분 내에 봇이 탈취합니다.
2. Supabase RLS 미설정 (83%)
데이터베이스 접근 제어를 설정하지 않으면 누구나 모든 데이터를 읽을 수 있습니다. 2025년 Lovable 사건에서 170개 이상 앱의 DB가 공개된 사례가 있습니다.
3. 보안 헤더 미설정
HSTS, CSP, X-Frame-Options 등 보안 헤더가 없으면 XSS, 클릭재킹 등 공격에 노출됩니다.
4. CORS 와일드카드
"일단 되게 하자"는 마음으로 CORS를 *(전체 허용)로 설정하면, 다른 사이트에서 데이터를 가져갈 수 있습니다.
5. 에러 메시지 정보 노출
DEBUG 모드를 켠 채로 배포하면 서버 경로, DB 스키마, 환경변수가 에러 페이지에 그대로 노출됩니다.
6. 인증 없는 API 엔드포인트
AI가 만든 API에 인증 로직이 빠져있는 경우가 많습니다. 누구나 /api/users 같은 경로에 접근할 수 있습니다.
7. SSL 미설정 또는 만료
HTTPS 없이 서비스하면 데이터가 평문으로 전송됩니다.
8. 쿠키 보안 속성 미설정
Secure, HttpOnly, SameSite 플래그 없으면 세션 탈취 위험이 높습니다.
9. 민감 파일 노출 (.env, .git)
.env 파일이나 .git 폴더가 외부에서 접근 가능한 경우, 모든 설정과 소스코드가 유출됩니다.
10. 서버 정보 노출
Server 헤더에 nginx 버전, PHP 버전이 노출되면 알려진 취약점을 이용한 공격이 가능합니다.
어떻게 점검할까?
CodeScan에서 URL만 입력하면 위 10가지를 포함한 14가지 항목을 자동으로 점검합니다.