"개발자 95%가 AI사용...공급망 보안 리스크도 더 커져" 작성일 12-09 34 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">이만희 한남대 교수 발표…"AI가 악용하면 큰 위험 부르는 취약 코드도 생성"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="ycjz3wjJgA"> <p contents-hash="881acf8013146538db92e1e6c2cbcd8dde9ccb07dc87e466c3cab4ab04185f26" dmcf-pid="WlCP2yCEoj" dmcf-ptype="general">(지디넷코리아=김기찬 기자)개발 코드 제작에 대부분 생성형 인공지능(AI)이 사용되고 있는 현실이다. 코드 제작에 필요한 시간을 획기적으로 줄여주고, 개발자 업무 피로도를 낮출 수 있기 때문이다. 그러나 이런 생성형 AI가 만들어낸 코드가 취약점이 있는 코드를 생성하면서 공급망 보안 리스크로 이어질 우려도 나온다.</p> <p contents-hash="57634fbae44c5a423413dad1094803fca63c4d44dfc8d0ff652f27dfc5148c80" dmcf-pid="YShQVWhDcN" dmcf-ptype="general">이만희 한남대 컴퓨터공학부 교수는 9일 열린 '2025 AI 시큐리티&프라이버시 컨퍼런스'에서 이같이 밝혔다. 이 교수는 이날 '생성형 AI 시대의 공급망 보안 리스크'를 주제로 발표했다.</p> <figure class="figure_frm origin_fig" contents-hash="067352b977fc164ed238a74bbc1c67463847dd915b7266538f0c825e90d0f067" dmcf-pid="GvlxfYlwga" dmcf-ptype="figure"> <p class="link_figure"><img alt="이만희 한남대 컴퓨터공학부 교수가 발표하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/09/ZDNetKorea/20251209220654505gygz.jpg" data-org-width="640" dmcf-mid="xNGnMtGhNc" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/09/ZDNetKorea/20251209220654505gygz.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이만희 한남대 컴퓨터공학부 교수가 발표하고 있다. </figcaption> </figure> <p contents-hash="e2926b72193ba3142ca330fd4e5e12867694ff5c47931794c66f92db9908e4f5" dmcf-pid="HTSM4GSrgg" dmcf-ptype="general">이 교수 발표에 따르면 현재 95%의 개발자가 새로운 코드 개발에 생성형 AI를 사용하는 것으로 나타났다. 그러나 생성형 AI 사용으로 인해 추가 공급망 보안 리스크도 발생하고 있다.</p> <p contents-hash="5965f864491e3aba3a7da049ca4cf962f059231d626854065e66583af4dc3249" dmcf-pid="XyvR8Hvmgo" dmcf-ptype="general">구체적으로 ▲취약점 있는 코드 생성 ▲포이즌(poison) GPT ▲라이선스 문제 코드 ▲문제 라이브러리 의존성 문제 ▲미존재 라이브러리 의존 코드 생성 문제 등의 보안 위험이 꼽혔다.</p> <p contents-hash="b6c1897901f538750f4bcb1ecb579354f4c66d38f0235e702e5c483f8b799439" dmcf-pid="ZWTe6XTsjL" dmcf-ptype="general">이 교수는 "생성형 AI는 대규모 정적 데이터를 기반으로 학습하기 때문에 오래된 보안 패턴이나 취약한 코드를 학습 단계에 사용하고, 사용자의 코드 생성 요청에 이런 코드를 여과없이 노출시킬 수 있다"고 경고했다.</p> <p contents-hash="23981370bcb9f60ef442fd8d5ca11c08da02db88d766cf657ffdb9f00be14178" dmcf-pid="5YydPZyOjn" dmcf-ptype="general">이 교수는 실제로 생성형 AI에게 코드 생성을 요청한 결과를 보여줬다. 그러자 생성형 AI는'strcpy()'라는 문자열에 끝이 없거나 공격적인 의도로 사용될 경우 큰 위험을 야기할 수 있는 코드를 표시했다고 밝혔다.</p> <p contents-hash="f0d1772eef010499cd50fdaac4699fabded0562c5978bda7672df0420eb8ad92" dmcf-pid="1GWJQ5WINi" dmcf-ptype="general">이에 그는 "다시 생성형 AI에게 같은 코드를 안전하게 만들어달라고 요청하자, 생성형 AI는 위험을 부를 수 있는 코드 대신 다른 안전한 코드를 생성했다"며 "따라서 코드 생성 요청 시 안전하게 요청하는 것이 중요하겠다"고 진단했다.</p> <p contents-hash="d7a9627b4abde7462219ea8850e8073c919370687333a3166035ca2457aaf0b2" dmcf-pid="tHYix1YCAJ" dmcf-ptype="general">이 외에도 공격자가 정상 코드처럼 위장한 백도어, 원격 코드 실행(RCE) 등과 같은 데이터를 학습 세트에 몰래 섞는 '포이즌GPT' 공격이나, 생성형 AI의 '환각'(hallucination) 오류를 악용해 가짜이지만 그럴듯한 패키지 이름을 생성하고 공격자가 그 이름으로 실제 악성 패키지를 만들어 배포하는 등의 공격이 다른 위협으로 지목됐다.</p> <p contents-hash="b2add72db1014d82f532f7bda8da7bc18d20b60d150402ab2ac90eb293e0d80d" dmcf-pid="FXGnMtGhod" dmcf-ptype="general">이처럼 회사 및 오픈소스 개발에도 LLM(거대 언어 모델)이 활용되고 있고, 생성형 AI가 생성한 코드값이 생성한 취약·악성코드로 인한 보안 위험이 존재하고 있는 상황이다. 또 이를 악용해 실제 공격에 활용될 경우 공급망 공격으로 이어질 우려도 나온다.</p> <p contents-hash="9f77d99cd3465b75052e19e35642a3853e96ff3d005601935c3ebf45aff5488a" dmcf-pid="3ZHLRFHlke" dmcf-ptype="general">이 교수는 대응책으로 ▲AI 추천 버전을 그대로 쓰지 않고, 취약점 DB(데이터베이스)와 교차 검증 ▲보안 패치가 유지되는 버전만 사용하는 프롬프트 활용 ▲운영 조직에서 허용된 라이브러리와 버전 목록을 관리 등을 꼽았다.</p> <p contents-hash="a1567256456b88548ef40b7a7c27c40774040afe2704748e70aabe221910d07f" dmcf-pid="05Xoe3XSoR" dmcf-ptype="general">한편 '2025 AI 시큐리티&프라이버시 컨퍼런스'는 과학기술정보통신부와 한국정보보호산업협회(KISIA)가 주관하는 행사다.</p> <p contents-hash="f4cce0f5ec61e4c49a801b51081e1347d58adf788c9a46ebdca3671f678938bb" dmcf-pid="pGWJQ5WIaM" dmcf-ptype="general">이날 이 교수 외에도 김범수 연세대 정보대학원 교수가 'AI 시대 한국 프라이버시 보호 및 보안 생태계의 과제와 제안'을, 손병희 마음AI 연구소장이 '차세대 보안으로서 피지컬 AI 보안 동향 및 발전 방향'에 대해 발표했다.</p> <p contents-hash="5b61f0df4bf332c512e09950ca5693a59057835951849ce9bb799a4883511067" dmcf-pid="UHYix1YCcx" dmcf-ptype="general">김기찬 기자(71chan@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 디즈니+ 각잡고 준비했다…공개 전부터 시즌2 확정해버린 한국 드라마 12-09 다음 탄자니아 중학교에도 ‘K팝 챌린지’ 열풍 12-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
