뉴스로 돌아가기
속보

AI 코딩 에이전트, SQLi 공격에는 탁월하지만 보안 통제에는 취약

3분 읽기출처: SecurityWeek

AI 코딩 에이전트가 SQL 주입 공격에는 능숙하지만 기본 보안 통제를 구현하지 못하는 한계가 드러났다. 보안 전문가들은 AI 보조 개발 시 인간 감독의 중요성을 강조한다.

AI 코딩 에이전트, 보안 테스트에서 양면성 드러내

최근 AI 기반 코딩 에이전트에 대한 평가에서 놀라운 결과가 나타났다. 이들은 SQL 주입(SQLi) 취약점을 효과적으로 악용할 수 있지만, 기본적인 보안 통제를 구현하는 데는 지속적으로 실패한 것이다. SecurityWeek에 게재된 이 연구 결과는 안전한 소프트웨어 개발에서 AI의 잠재력과 한계를 동시에 보여준다.

주요 발견: SQLi 성공 vs 보안 실패

연구진은 여러 AI 코딩 에이전트를 대상으로 일반적인 보안 결함을 식별하고 완화하는 능력을 평가했다. 그 결과는 우려스러웠다.

  • SQL 주입 공격: AI 에이전트는 데이터베이스 쿼리를 이해하고 조작하는 능력으로 기능적인 SQLi 공격을 성공적으로 수행했다.
  • 보안 통제: 공격 기법에는 능숙했지만, 입력 검증, 매개변수화된 쿼리, 적절한 인증 메커니즘 등 기본적인 보안 조치를 구현하는 데는 어려움을 겪었다.

이 보고서의 저자인 Kevin Townsend는 "AI 에이전트가 SQLi 취약점을 악용하는 능력은 인상적이지만, 보안 모범 사례를 적용하지 못하는 것은 우려스럽다"며 "이러한 이중성은 AI 보조 개발에서 인간의 감독이 필수적임을 강조한다"고 지적했다.

기술적 분석: AI가 보안에 취약한 이유

이 연구는 AI가 안전한 코딩에서 실패하는 몇 가지 이유를 제시한다.

  1. 문맥 이해 부족: AI 에이전트는 패턴 인식에는 뛰어나지만, 코드베이스의 전반적인 보안 맥락을 이해하지 못하는 경우가 많다. 예를 들어 SQLi 페이로드를 생성할 수 있지만, 입력 값 정제가 왜 필요한지는 인식하지 못할 수 있다.

  2. 학습 데이터 의존도: AI 모델은 대규모 데이터셋으로 학습되며, 여기에는 보안에 취약한 코드 예시가 포함될 수 있다. 명시적인 지침이 없으면 이러한 결함을 재현할 뿐, 완화하지 못한다.

  3. 보안 우선 설계 부재: 많은 AI 코딩 도구는 기능성과 속도를 우선시해 보안보다 작동 가능한 구현에 집중한다. 그 결과, 작동은 하지만 본질적으로 취약한 코드가 생성된다.

안전한 개발에 미치는 영향

이번 연구 결과는 소프트웨어 개발에서 AI의 역할에 대한 중요한 질문을 제기한다.

  • 보안에 대한 잘못된 신뢰: 개발자들은 AI가 생성한 코드가 기본적으로 안전하다고 가정할 수 있으며, 이로 인해 취약점이 간과될 수 있다.
  • 공격 표면 확대: AI 도구가 적절한 안전장치 없이 널리 사용되면, 의도치 않게 애플리케이션에 새로운 위험을 도입할 수 있다.
  • 규제 및 컴플라이언스 위험: AI 생성 코드를 사용하는 조직은 OWASP Top 10, PCI DSS, 또는 GDPR과 같은 보안 표준을 충족하는 데 어려움을 겪을 수 있다.

보안 전문가를 위한 권장 사항

AI 보조 코딩과 관련된 위험을 완화하기 위해 전문가들은 다음과 같은 조치를 권장한다.

  1. 인간 검토 필수: AI가 생성한 코드는 항상 수동 보안 검토를 거쳐야 하며, 특히 인증 및 데이터 처리와 같은 중요한 구성 요소에 대해 철저히 확인해야 한다.

  2. 보안 도구 통합: 정적 애플리케이션 보안 테스트(SAST)동적 애플리케이션 보안 테스트(DAST) 도구를 사용하여 AI 생성 코드의 취약점을 스캔한다.

  3. 교육 및 인식 제고: 개발자들에게 AI 코딩 에이전트의 한계를 교육하고, OWASP 보안 코딩 가이드라인과 같은 안전한 코딩 실무를 강조한다.

  4. 정책 및 거버넌스: 개발에서 AI 도구 사용에 대한 명확한 정책을 수립하고, 필수 보안 점검 및 컴플라이언스 요구사항을 포함한다.

  5. 지속적인 모니터링: 런타임 애플리케이션 자기 보호(RASP) 및 기타 모니터링 도구를 구현하여 AI 생성 취약점을 악용하려는 공격을 탐지하고 차단한다.

결론

AI 코딩 에이전트는 소프트웨어 개발의 특정 측면을 자동화하는 데 유용한 잠재력을 보여주지만, 현재 보안에서의 한계는 상당한 위험을 초래한다. 조직은 심층 방어 접근 방식을 채택하여 AI 도구와 강력한 보안 실무를 결합함으로써 탄력적이고 안전한 애플리케이션을 보장해야 한다. AI가 계속 발전함에 따라 보안 전문가와 AI 개발자 간의 지속적인 연구와 협력이 이러한 문제를 해결하는 데 필수적이다.

출처: SecurityWeek

공유

TwitterLinkedIn