인사이트 · 4분 · 05.06

같은 한 주, 같은 회사 — Lovable의 모바일 신화와 보안 폭발이 동시에 말하는 것

loopy vibecoder

#draft #바이브코딩 #Lovable #BOLA #보안 #모바일 #Supabase #RLS #vibe-coding

핵심 요약 (TL;DR)

$6.6B 평가의 vibe coding 1위 Lovable이 같은 주에 두 개의 헤드라인을 만들었습니다. 4월 28일에는 모바일 앱을 출시해 안드로이드만 첫 주 100K+ 다운로드를 찍었고, 4월 20일에는 BOLA 취약점이 48일간 방치됐다는 폭로가 터졌어요. 노출된 건 활성 사용자 2.3M이 만든 1,000만+ 프로젝트 안의 Supabase 키, AI 채팅 히스토리, 실명과 LinkedIn 정보까지였습니다. 속도와 안전의 tradeoff가 모바일까지 들어왔다는 뜻. 1위 회사가 자기 vibe coding 도구로 자기 코드를 짜다가 자기 발등을 찍은 사건입니다.

한 회사, 한 주, 두 개의 헤드라인

vibe coding 시장의 1위는 Lovable입니다. ARR $200M, 평가액 $6.6B, 활성 사용자 2.3M, 누적 프로젝트 1,000만 개. 그 회사가 한 주 사이에 두 번 신문 1면을 갔어요. 결이 정반대인 두 사건이었습니다.

4월 28일, iOS·Android 정식 모바일 앱이 출시됐습니다. 폰에서 음성이나 텍스트로 "이런 앱 만들어줘"라고 던지면, Lovable 에이전트가 백그라운드에서 빌드하고 푸시 알림으로 결과를 알려줍니다. 안드로이드만 첫 주 100K+ 다운로드. 무료 다운로드에 기존 Lovable 구독($9.99~$79.99/mo)이 그대로 적용됩니다. Apple 정책 우회를 위해 생성된 앱은 호스트 앱 안이 아닌 웹 브라우저에서 미리보기로 빠집니다.

같은 주, 8일 앞서 4월 20일에 The Register가 BOLA 폭로를 띄웠습니다. Broken Object Level Authorization — 무료 계정 누구나 다섯 번의 API 콜로 다른 사람의 "public" 프로젝트의 chat history, 소스 코드, 시크릿에 도달할 수 있는 결함이었어요. 보안 연구자가 HackerOne으로 보고한 건 3월 3일. 공개 폭로까지 48일이 비었습니다.

노출된 것 — 그리고 회피된 것

노출 범위가 무겁습니다. Supabase 자격증명 하드코딩, 실명·직책·LinkedIn 프로필·Stripe 고객 ID, 그리고 가장 위험한 건 사용자가 Lovable 에이전트와 주고받은 채팅 히스토리예요. 거기엔 에러 로그, 비즈니스 로직, 세션 중 무심코 공유한 시크릿이 다 들어 있습니다. Halborn 분석이 가장 정확하게 사건을 정리합니다.

Lovable의 대응은 4단 콤보로 무너졌습니다. (1) X에서 "data breach 아니다, intentional behavior다"라며 부인. (2) "문서가 'public'의 의미를 명확히 안 적었다"며 문서 탓. (3) "HackerOne 파트너가 escalation 안 했다"며 외부 탓. (4) 같은 날 부분 사과 — "문서 탓만으로는 부족했다." 평판 위기 매뉴얼의 모든 잘못된 보기를 한 번에 다 골랐습니다.

왜 같은 한 주인가

이 두 사건이 같은 회사의 같은 주에 터진 게 우연이 아닙니다. 모바일 앱은 "더 빠르게, 더 많은 사람이, 더 가볍게"라는 vibe coding의 가속 페달이고, BOLA 폭로는 그 가속이 만든 사각지대였어요. 1,000만 개 프로젝트가 만들어지는 동안 RLS 토글 하나, public 정의 한 줄이 누락됐을 때 어떤 사고가 나는지를 시장이 처음 본 겁니다.

Inigra의 600K 라인 audit은 이미 5월 시점에 "1,645개 Lovable 앱 중 170개에서 무인가 접근 가능, 70%가 Supabase RLS 비활성화"라는 통계를 내놨었습니다. 즉 이번 BOLA는 단발 결함이 아니라 패턴이라는 뜻이에요.

한국 바이브코더가 지금 점검할 다섯 가지

Lovable 프로젝트가 하나라도 살아 있다면, 다음 다섯 줄을 오늘 점검하시는 걸 권합니다.

Supabase RLS(Row Level Security)가 모든 테이블에 켜져 있는가
API 키, JWT secret이 코드에 하드코딩돼 있지 않은가 (env vars로 분리)
"Public" 토글이 켜진 프로젝트에 실제로 노출돼도 괜찮은 데이터만 들어 있는가
Lovable 에이전트와의 채팅에 실제 운영 시크릿을 붙여넣지 않았는가
2025년 11월 이전에 만든 프로젝트가 있다면 우선 audit

이 다섯 줄이 통과하지 않은 채 운영 중인 프로젝트가 있다면, 모바일 앱으로 새 프로젝트를 시작하기 전에 그것부터 정리하셔야 합니다.

FAQ

Q. 다른 vibe coding 도구(Bolt, v0, Replit Agent)도 같은 위험이 있나요?
패턴은 같습니다. 생성형 도구가 기본값으로 만드는 RLS·인증·시크릿 처리 코드를 사용자가 검토하지 않고 배포하면 어디서든 같은 사고가 납니다. 도구 차이가 아니라 검토 습관 차이예요.

Q. 이미 Lovable 프로젝트를 운영 중인데, 지금 옮겨야 하나요?
옮기는 것보다 위 다섯 줄을 통과시키는 게 먼저입니다. 데이터 보안 결함은 옮긴다고 사라지지 않고, 새 도구로 가도 같은 패턴을 그대로 들고 갑니다.

Q. 모바일에서 vibe coding하는 게 이제 표준이 되나요?
방향은 그쪽이지만 속도가 안전을 앞지르는 구간을 통과 중입니다. 100K 다운로드는 사람들이 폰에서 만들 준비가 됐다는 뜻이고, BOLA는 도구가 아직 그 속도를 받쳐줄 준비가 안 됐다는 뜻이에요.

마무리

같은 회사, 같은 주, 두 헤드라인. 한쪽은 시장이 vibe coding을 더 빨리, 더 가볍게 받아들이고 있다는 신호고, 한쪽은 그 속도가 만든 그림자입니다. 모바일 앱을 깔기 전에 Supabase 콘솔부터 열어보시는 게 — 오늘 가장 빠르게 할 수 있는 가장 가치 있는 일일 거예요.