전체메뉴

[애플경제 김예지 기자] 프로그래밍을 위해 이젠 대부분의 개발자들이 AI를 사용해 코드를 생성하고 있다. 하나의 추세로 자리잡고 있을 정도다. 그러나 이는 “늘 위험의 소지를 안고 있는 ‘불발탄’과 같은 존재”라는게 보안전문가들의 우려다. 특히 많은 기업의 보안 책임자들의 걱정은 날로 크다. 대부분의 개발자들에게 하나의 관행으로 굳어지다보니, 이들은 “나중엔 보안사고가 발생해도 통제가 불가능한 수준에까지 이를 지도 모른다”고 불안해 한다.

“늘 ‘불발탄’ 안고있는 것과 같아”

해외의 몇몇 사이버보안업체들의 분석과 조사에 따르면 미국, 영국, 독일, 프랑스 등 거의 모든 주요국 기업들의 보안 책임자들은 “사내에서 AI 생성 코드를 사용하면 보안 사고가 발생할 소지가 크다”고 우려하고 있다.

거의 90%가 넘는 보안책임자나 관리자들이 개발자들이 사내에서 이미 AI 코드를 사용하고 있는 현실을 걱정하고 있다. 이들 전문가들은 생성 AI로 생성된 코드는 늘 검증되지 않은채 무결성을 인정받고 있으며, AI가 사용되는 시점에 대해서도 관리•감독이 소홀한 현실을 지적하고 있다.

이같은 우려는 최근 코딩을 위한 AI 생성 코드가 거의 보편적 현상이 되다시피 한 현실 때문에 더욱 커지고 있다. 보안 책임자들의 그런 우려는 실제 국내외 보안업계의 실태조사에서도 드러나고 있다.

각종 설문 조사마다 대략 10개 중 8개 이상의 기업이나 조직에서 이미 AI를 사용하여 코드를 생성하고 있는 것으로 나타났다. 또한 응답자의 57%는 “코딩 지원에 AI를 사용하는 것은 표준 관행”이라고까지 인식하고 있다. 사이버 보안 회사 베나피(Venafi)의 조사 보고서도 그 대표적인 경우다. 주요국의 보안책임자와 전문가 800명을 대상으로 조사한 결과, 데부분이 “AI에서 생성한 오픈 소스 코드를 (보안위협으로부터) 보호하기 위해 고군분투하고 있다”고 답했다.

기업 10곳 중 8곳에서 AI생성 코딩 추세

이에 따르면 응답자의 63%가 “보안 위험으로 인해 코딩에서 AI 사용을 금지하는 것을 고려한 적이 있다”고 했다. 그러나 그런 답변과는 별개로 4분의 3(72%)은 “경쟁사와 보조를 맞추기 위해 AI 코드를 허용할 수 밖에 없었다”고 했다. 특히 지난 8월에 공개된 깃허브 데이터에 의하면 실제로 AI 코딩 도구가 개발자의 시간을 절약하는 것으로 나타났다. 또 다른 개발자 플랫폼는 “대부분의 회사에서 생산성과 코드 품질이 향상되고 있다”는 설문 조사 결과를 공개하기도 했다.

하지만 보안 전문가들은 AI에서 생성된 코드의 속도가 ‘품질’을 떨어뜨릴 수도 있음을 지적했다. 그러면서 “개발자가 민감한 코드를 처리하기 위해 AI 도구를 사용할 때 발생할 수 있는 잠재적 위험을 어떻게 통제할지가 딜레마”라고 하소연하기도 했다.

응답자의 약 3분의 2(63%)는 “보안 팀이 AI 기반 개발자를 추적하거나 효과적으로 단속하는 것이 이미 불가능하다”고 털어놓았다. 특히 허가 없이 AI 도구를 사용하는 프로세스인 ‘섀도우 AI’는 “AI 오용을 방지하기 위한 명확한 정책 없이는 발견하거나 예방하기 어려울 수 있다”는 것이다. 그런 가운데 응답자의 47%만이 “그런 규제를 위한 정책을 시행하고 있다”고 했다.

결국 기업체 보안팀이나 관리자들은 이같은 AI코딩에 대해선 더 이상 뾰족한 관리 수단이 없는 셈이다. 이는 기업이 언제나 사이버공격으로 프로그램을 탈취당하거나, 시스템을 침해받을 위험에 처해 있다는 뜻이기도 하다. 이는 보안책임자들에게 그야말로 ‘스트레스’ 자체다. 그래서 다수의 보안책임자들이 “AI가 초래하는 위험 때문에 잠을 이루지 못한다”고 하소연했다.

CS사태처럼 악성 코드 순식간에 전세계로 파급

보안 전문가들은 그런 점에서 최근 일어난 크라우드스트라이크 사태를 반면교사로 삼아야 한다는 주장이다. “잘못된 코드가 일개 개발자로부터 전 세계로 퍼져나가 대재앙을 일으키는 건 순식간의 일”이라며 “CS사태는 이를 생생히 보여준 사례”라는 것이다.

그럼에도 이같은 AI코드 소스는 줄어들긴커녕, 더욱 늘어날 것으로 보인다. 그래서 “이를 최소화하기 위해선 코드, 애플리케이션, 워크로드를 ID에 따라 인증한 후 변경되지 않았는지, 사용이 승인되었는지를 확인하는 것이 현재로선 최선의 방법”이란 얘기다.

그럴수록 AI와 오픈 소스에 대한 과도한 의존은 위험하다는 지적이다. 그러나 이 역시 말처럼 쉽지 않다. “개발자들이 코드를 일일이 확인해야 할 필요성이 크지만, 그렇다고 SW를 만드는 과정에서 아예 AI 지원이 없는 세상으로 돌아가고 싶어하진 않을 것”이란 얘기다.

개발자들은 이미 AI에 의한 방식에 숙련되어 있으며, 이를 통해 인간의 역량을 뛰어넘곤 했던 ‘초능력’을 포기하지 않을 것이기 때문이다. 그럴수록 사이버공격자들은 오픈소스 프로젝트를 먹잇감으로 노리는 경우가 늘어날 것이란 우려다.

"코드 서명 등이 임시방편의 예방책"

보안책임자들은 또 “개발자가 AI에 지나치게 의존하여 표준이 낮아지고, AI로 작성된 코드가 적절한 품질 검사를 거치지 않으며, AI가 제대로 유지 관리되지 않은 오래된 오픈소스 라이브러리를 사용할 수 있다”고 우려하기도 한다. 보안책임자들의 90%가 “오픈소스 라이브러리를 신뢰한다”고 했지만, 75%는 “사실상 이를 검증하는 것이 불가능하다”고 했다.

다만 모든 오픈소스 코드 줄의 보안, 즉 ‘코드 서명’은 이러한 오픈소스 공급망 문제에 대한 잠재적인 해결책으로 제시되었다. 이는 AI에 대한 훈련 데이터를 개선하는 연쇄 효과를 낼 수 있다. 그러나 이를 위해선 코드 서명 프로세스 또한 보안 조치가 확실해야 한다는게 문제다. “악성 코드를 차단하는 것만이 아니라, 모든 ​​코드 줄이 신뢰할 수 있는 출처에서 왔는지, 디지털 서명을 검증하고 서명된 이후로 아무것도 변조되지 않았는지가 중요하다”는 것이다.