AI가 만든 보안 구멍, 인간이 치른다

"코드 한 줄도 안 썼어요." 몰트북(Moltbook) 창업자 매트 슐리히트가 자랑스럽게 말했던 이 한 마디가, 이제는 뼈아픈 경고가 됐다. AI가 전부 코딩한 이 소셜네트워크에서 수천 명의 이메일 주소와 수백만 개의 API 자격증명이 통째로 노출된 것이다.

"바이브 코딩"의 대가

몰트북은 AI들끼리 소통하는 레딧 같은 플랫폼을 표방했다. 창업자는 "기술 아키텍처에 대한 비전만 있으면 AI가 현실로 만들어준다"며 "바이브 코딩"이라는 신조어까지 만들었다. 하지만 보안업체 위즈(Wiz)가 발견한 건 참담한 현실이었다.

자바스크립트 코드에서 개인키가 그대로 노출되어 있었던 것이다. 이는 "플랫폼 내 모든 사용자 계정을 완전히 가장할 수 있는" 수준의 치명적 결함이었다. AI들 간의 사적 대화까지 들여다볼 수 있었다.

한국 스타트업들이 놓치고 있는 것

이 사건이 남의 일로만 보이지 않는 이유가 있다. 국내 스타트업들도 개발 속도를 높이려고 ChatGPT나 GitHub Copilot 같은 AI 코딩 도구를 적극 도입하고 있기 때문이다. 네이버의 하이퍼클로바X, 카카오브레인의 코딩 AI까지 나오면서 "누가 더 빨리 개발하나" 경쟁이 치열하다.

문제는 속도에만 집중하다 보면 보안이 뒷전으로 밀린다는 점이다. AI가 생성한 코드는 겉보기엔 그럴듯하지만, 보안 전문가의 검토 없이는 시한폭탄이 될 수 있다. 특히 개인정보보호법이 강화된 한국에서는 한 번의 실수가 회사를 무너뜨릴 수도 있다.

애플의 록다운 모드가 FBI를 막아냈다

한편, 같은 주에 나온 또 다른 소식은 개인정보 보호의 중요성을 다시 한번 일깨워줬다. 워싱턴포스트 기자 한나 나탄슨의 집을 급습한 FBI가 그녀의 아이폰을 뚫지 못한 것이다. 바로 애플의 록다운 모드 때문이었다.

이 기능은 원래 NSO 그룹 같은 스파이웨어 업체의 해킹을 막기 위해 만들어졌다. 하지만 FBI의 그레이키나 셀러브라이트 같은 포렌식 도구도 무력화시켰다. 록다운 모드가 활성화되면 폰이 잠금 해제되지 않는 한 외부 장치와의 연결을 차단하기 때문이다.

사이버전쟁의 새로운 차원

일론 머스크의 스타링크가 러시아군의 위성 인터넷 접속을 차단한 사건과, 미국 사이버사령부가 이란의 방공시스템을 해킹한 사례는 사이버 공간이 이미 전장이 됐음을 보여준다. 특히 미군은 이란 공습 당시 디지털 무기로 적의 미사일 방어망을 무력화시켜 자국 전투기를 보호했다.

이는 한국에게도 시사하는 바가 크다. 북한의 사이버 공격 능력이 갈수록 정교해지는 상황에서, 우리의 핵심 인프라 보호는 어떻게 되고 있을까? 군사용 시스템뿐만 아니라 금융, 통신, 에너지 분야의 사이버 보안도 재점검이 필요한 시점이다.