기업 80%가 취약한 코드 배포: AI 시대, 개발 보안의 위기와 기회

최근 Checkmarx에서 발표한 연구 결과는 충격적입니다. 무려 81%의 기업이 취약한 코드를 알고도 배포하고 있다는 사실입니다. 이는 기업과 사용자 모두에게 심각한 보안 위협을 초래하며, 특히 AI가 생성한 코드의 사용 증가와 맞물려 더욱 복잡한 문제로 이어지고 있습니다.

AI 시대, 코드의 취약점 증가와 보안 위협

이번 연구는 1,500명의 CISO, AppSec 관리자, 개발자를 대상으로 진행되었으며, 응답자의 절반이 이미 AI 보안 코드 지원을 사용하고 있다고 답했습니다. 놀랍게도 34%는 코드의 60% 이상이 AI에 의해 생성된다고 밝혔는데, 이러한 AI 생성 코드는 종종 알려진 취약점을 포함하고 있을 가능성이 높습니다.

더욱 심각한 점은 응답자의 98%가 지난 한 해 동안 취약한 코드로 인해 보안 침해를 경험했음에도 불구하고, 여전히 적절한 보호 조치 없이 취약한 코드를 배포하고 있다는 사실입니다. 이는 기업들이 보안의 중요성을 인지하면서도, 실제적인 보안 강화에는 소홀하다는 것을 보여줍니다.

개발자 책임감 약화와 공격 표면 확대

보고서는 생성형 AI가 개발자의 책임감을 약화시키고 있다고 지적합니다. AI가 생성한 코드는 특정 개인과 연관될 가능성이 낮아지면서, 코드 품질에 대한 책임 소재가 불분명해지는 경향이 있습니다. 또한, AI 코드를 수정하는 과정에서 과거에 피할 수 있었던 취약점이 다시 나타나 공격 표면을 확대시키는 문제점도 발생하고 있습니다.

이러한 문제는 AI 코딩에 대한 적절한 관리 부족과 결합되어 더욱 심각해집니다. 많은 개발자들이 AI가 생성한 코드를 처음부터 다시 작성하는 대신 편집하는 방식을 선호하면서, 코드의 보안 취약점을 간과할 가능성이 높아지고 있습니다.

보안 도구 활용 부족과 AI 활용 전략의 필요성

연구 결과에 따르면, DAST(Dynamic Application Security Testing)나 IaC(Infrastructure as Code) 스캐닝과 같은 기본적인 보안 도구를 사용하는 기업은 절반에도 미치지 못했습니다. DevSecOps 도구를 사용하는 기업의 비율도 비슷한 수준입니다. 이는 많은 기업들이 개발 초기 단계부터 보안을 고려하는 DevSecOps 문화 확산에 어려움을 겪고 있다는 것을 시사합니다.

Checkmarx는 기업들이 AI 도구 사용에 대한 정책을 수립하고, 코딩 단계부터 보안을 강화해야 한다고 강조합니다. AI 사용을 금지하는 대신, AI를 활용하여 프로젝트 전반의 문제를 분석하고 해결하는 방안을 모색해야 합니다. 예를 들어, AI 기반의 자동화된 취약점 분석 도구를 도입하여 코드의 보안 취약점을 신속하게 탐지하고 수정할 수 있습니다.

AI 시대, 경쟁력 확보를 위한 안전한 소프트웨어 개발

Checkmarx의 Eran Kinsbruner는 "AI 생성 코드는 계속 확산될 것이며, 안전한 소프트웨어가 향후 경쟁력을 결정짓는 요소가 될 것"이라고 강조했습니다. AI 시대에 기업은 AI를 적극적으로 활용하되, 동시에 보안을 최우선으로 고려하는 개발 문화를 구축해야 합니다.

맺음말

AI는 개발 생산성을 향상시키는 강력한 도구이지만, 동시에 새로운 보안 위협을 야기하기도 합니다. 기업은 AI 사용에 대한 명확한 정책을 수립하고, 개발 초기 단계부터 보안을 고려하는 DevSecOps 문화를 확산시켜야 합니다. AI를 활용하여 코드의 취약점을 분석하고 수정하는 동시에, 개발자들에게 보안 교육을 강화하여 안전한 소프트웨어를 개발하는 역량을 키워야 합니다. 이러한 노력을 통해 기업은 AI 시대에도 경쟁력을 유지하고, 사용자들에게 안전한 서비스를 제공할 수 있을 것입니다.