3월에만 35개 — Georgia Tech이 세고 있는 바이브코딩 보안 취약점의 가속도
핵심 요약 (TL;DR)
Georgia Tech SSLab이 AI 생성 코드에서 발생한 CVE를 추적한 결과, 2026년 1월 6개 → 2월 15개 → 3월 35개로 급증하고 있습니다. 누적 74개 CVE 중 11개가 Critical 심각도이며, 연구진은 실제 규모를 탐지된 것의 5~10배(400~700건)로 추정합니다.
누군가 세고 있다는 것 자체가 신호입니다
AI 코딩 도구가 만들어내는 코드의 양은 폭발적으로 늘고 있습니다. Claude Code만 해도 GitHub 공개 커밋의 4% 이상을 차지하며, 지난 90일간 307억 줄의 코드를 추가했습니다. 1,500만 건 이상의 커밋이 쌓이는 동안, 그 안에 묻힌 보안 취약점을 체계적으로 세는 사람들이 있습니다.
Georgia Tech 시스템소프트웨어보안연구소(SSLab)의 박사과정 연구자 Hanqing Zhao와 연구진은 2025년 5월부터 'Vibe Security Radar' 프로젝트를 운영하며, 43,849개의 보안 공지사항을 분석해 AI 생성 코드에서 기인한(attributable to AI-authored code) 74개 CVE를 식별했습니다.
숫자가 말해주는 가속도
월별 추이가 뚜렷합니다.
| 월 | CVE 수 | 전월 대비 |
|---|---|---|
| 2026년 1월 | 6개 | - |
| 2026년 2월 | 15개 | +150% |
| 2026년 3월 | 35개 | +133% |
누적 74개 CVE의 도구별 분포도 주목할 만합니다.
| 도구 | 누적 CVE | 비율 | 3월 단월 |
|---|---|---|---|
| Claude Code | 49개 | 66% | 27개 |
| GitHub Copilot | 15개 | 20% | 4개 |
| Devin | 3개 | 4% | 2개 |
| Cursor | 4개 | 5% | 1개 |
| 기타 | 3개 | 4% | 1개 |
여기서 중요한 맥락이 있습니다. Claude Code의 CVE 비율이 압도적으로 높아 보이지만, 연구자 Zhao는 그 이유를 이렇게 설명합니다 — Claude Code는 커밋에 항상 서명(signature)을 남기는 반면, Copilot 등은 흔적이 없어 탐지 자체가 어렵다는 겁니다. 즉, Claude Code가 더 위험한 게 아니라 더 추적 가능한 것일 수 있습니다. 실제 취약점의 분포는 이 수치와 다를 가능성이 높습니다.
바이브코더가 알아야 할 것
74개 CVE 중 11개가 Critical 심각도입니다. 그리고 연구진은 탐지된 것의 5~10배, 즉 400~700건의 CVE가 실제로 존재할 것으로 추정합니다.
Zhao의 말이 핵심을 찌릅니다. "1년 전에는 자동완성용으로 AI를 썼지만, 지금은 전체 프로젝트를 생성하고 거의 읽지도 않은 코드를 배포한다. 이건 다른 위험 프로필이다."
바이브코딩의 본질이 "AI에게 맡기고 결과물을 쓴다"인 만큼, 코드를 한 줄씩 리뷰하라는 건 비현실적인 조언입니다. 하지만 최소한 보안 관련 부분 — 인증, 인가, 데이터 접근 제어, API 키 관리 — 은 AI가 만든 코드라도 사람이 확인해야 합니다.
Infosecurity Magazine에서도 이 연구를 다루며, AI 생성 코드의 보안 검증 프로세스 도입 필요성을 강조했습니다.
앞으로의 전망
이 숫자는 계속 올라갈 겁니다. AI 코딩 도구의 사용량이 기하급수적으로 늘고 있고, 바이브코딩으로 만든 프로젝트가 프로덕션에 배포되는 비율도 높아지고 있으니까요.
다만 방향은 두 갈래입니다. 하나는 AI 코딩 도구 자체가 보안에 더 강해지는 것, 다른 하나는 AI가 만든 코드를 자동으로 검증하는 보안 도구가 발전하는 것. Georgia Tech의 연구가 중요한 이유는, 문제의 규모를 측정하고 있기 때문입니다. 측정할 수 있어야 개선할 수 있거든요.
바이브코더로서 할 수 있는 건 명확합니다. 코드 전체를 리뷰할 필요는 없지만, 보안 체크리스트만큼은 AI에게 맡기지 마세요.
FAQ
AI가 만든 코드가 사람이 만든 코드보다 더 취약한 건가요?
이 연구는 "AI가 만든 코드에서 발견된" CVE를 추적한 것이지, AI 코드가 사람 코드보다 취약하다는 인과관계를 증명한 건 아닙니다. 다만 AI가 생성한 코드의 절대적 양이 급증하면서 취약점의 절대 수도 함께 늘고 있다는 것이 핵심 발견입니다.
Claude Code의 CVE가 66%나 되는데, 다른 도구를 쓰는 게 낫나요?
Claude Code가 커밋에 서명을 남기기 때문에 추적이 쉬운 것이지, 다른 도구가 더 안전하다는 뜻은 아닙니다. Copilot 등은 흔적을 남기지 않아 CVE가 발견돼도 AI 도구에 귀속시키기 어렵습니다. 도구를 바꾸는 것보다 보안 검증 프로세스를 추가하는 게 더 효과적입니다.
바이브코딩을 하면서 보안을 챙기려면 어떻게 해야 하나요?
전체 코드 리뷰는 비현실적이므로, 보안 크리티컬한 영역에 집중하세요. 인증/인가 로직, 데이터베이스 접근 제어, API 키 관리, 입력값 검증 — 이 네 가지만 직접 확인해도 Critical급 취약점의 상당수를 방지할 수 있습니다.
댓글 0
아직 댓글이 없습니다