트렌드 · 3분 · 04.23

바이브코딩 앱 5,600개를 보안 스캔했더니 — 2,000개 취약점과 노출된 의료기록

loopy vibecoder

핵심 요약 (TL;DR)

프랑스 보안 스타트업 Escape.tech가 Lovable, Bolt.new 등으로 만들어진 5,600개 앱을 자동 스캔한 결과, 2,000개 이상의 고위험 취약점과 400개 이상의 노출된 API 키, 175건의 개인정보(의료기록 포함)가 발견됐습니다. 바이브코딩으로 앱을 배포한 적 있다면, 지금 보안 점검이 필요합니다.

5,600개 앱, 패시브 스캔만으로 드러난 것들

바이브코딩으로 무언가를 만들어 배포해본 적 있으신가요? 그렇다면 이 연구 결과를 한번 보셔야 합니다.

Escape.tech는 시리즈 A에서 $18M을 유치한 프랑스 보안 스타트업입니다. 이들이 Lovable(약 4,000개), Base44(약 159개), Create.xyz(약 449개), Vibe Studio, Bolt.new에서 만들어진 공개 앱 5,600개를 자동화된 보안 스캐너로 분석했습니다.

결과는 꽤 충격적이었습니다.

  • 14,600개 자산 발견 (5,600 웹앱, 1,280 API, 6,500 호스트, 1,103 스키마)
  • 2,000개 이상 고위험 취약점
  • 400개 이상 노출된 시크릿 (API 키, 토큰, 크레덴셜)
  • 175건의 개인정보 노출 — 의료기록, IBAN 계좌번호, 전화번호, 이메일
  • Lovable 앱의 70%가 Row-Level Security(RLS) 비활성화 상태

더 무서운 건, 이게 패시브 모드 — 즉 실제 공격을 시도하지 않고 겉에서 들여다보기만 한 결과라는 점입니다. 연구팀 스스로도 "실제 위험은 이보다 훨씬 크다"고 밝혔습니다.

왜 이런 일이 생기는 걸까

바이브코딩 도구들은 기능 구현에 최적화되어 있습니다. "로그인 페이지 만들어줘"라고 하면 정말 잘 만들어주죠. 하지만 그 로그인이 안전한지는 별개의 문제입니다.

The Next Web 보도에 따르면, 핵심 원인은 이렇습니다.

  • 익명 JWT 토큰이 JavaScript 번들에 평문으로 노출
  • Supabase 연동 시 RLS를 기본으로 켜지 않는 설정
  • API 키가 프론트엔드 코드에 하드코딩

이건 도구의 버그라기보다, 보안을 프롬프트만으로는 챙기기 어렵다는 구조적 문제입니다. 코드를 직접 짤 때도 보안은 가장 마지막에 신경 쓰게 되는 영역인데, AI가 대신 짜주면 그 마지막 점검마저 건너뛰게 되는 거죠.

바이브코더가 지금 할 수 있는 것

이 연구가 "바이브코딩은 위험하다"는 메시지는 아닙니다. 오히려 "배포 후 보안 점검은 별도로 해야 한다"는, 당연하지만 놓치기 쉬운 사실을 데이터로 증명한 겁니다.

바이브코딩 앱을 운영 중이라면 지금 확인해보세요.

  1. Supabase RLS가 켜져 있는지 확인
  2. 프론트엔드 빌드 파일에서 API 키/토큰 노출 여부 점검
  3. .env 파일이 배포에 포함되지 않았는지 확인
  4. 가능하다면 무료 DAST 도구로 외부 스캔 한 번 돌려보기

만드는 속도만큼 지키는 속도도 중요합니다. 바이브코딩이 빌드의 장벽을 낮춰준 만큼, 보안의 장벽도 낮추는 습관이 필요한 시점입니다.

FAQ

Q. 이 보안 취약점은 Lovable만의 문제인가요?
A. 아닙니다. 연구 대상에는 Bolt.new, Base44, Create.xyz, Vibe Studio도 포함됩니다. 바이브코딩 도구 전반의 구조적 문제이며, 사용자가 보안 설정을 직접 챙겨야 합니다.

Q. 패시브 스캔이란 무엇인가요?
A. 실제 공격(exploit)을 시도하지 않고, 외부에서 접근 가능한 정보만 수집하는 방식입니다. 취약점이 있다는 것을 탐지하되 악용하지 않는 것이므로, 실제 공격 시 피해는 더 클 수 있습니다.

Q. Supabase RLS는 어떻게 켜나요?
A. Supabase 대시보드에서 테이블별로 RLS 정책을 활성화할 수 있습니다. ALTER TABLE your_table ENABLE ROW LEVEL SECURITY; SQL 명령으로도 가능합니다.

관련 글 읽어보기
- 매일 쓰는 Cursor와 Claude Code에 RCE 취약점 — MCP 보안의 민낯
- AI 도구 하나가 Vercel을 뚫었다 — 바이브코더가 지금 당장 점검해야 할 것들
- 보안 사고가 터져도 Meta가 인수했다 — Moltbook이 증명한 바이브코딩의 역설

0

댓글 0

로그인하고 댓글 달기

아직 댓글이 없습니다