Anthropic가 59.8MB 소스맵 파일 유출로 512,000줄 코드 공개하며 AI 코딩 보안 리스크 실증

Context

AI 코딩 도구로 생성된 코드의 빌드 보안 검증이 개발 속도를 따라가지 못하는 구조적 한계가 존재한다. Anthropic는 1,000명 이상 직원과 전담 보안 팀을 보유한 300억 달러 기업임에도 소스맵 파일 하나가 프로덕션에 배포되는 인적 오류를 발생시켰다. 2026년 3월 AI 생성 코드에서 발생한 신규 CVE가 35건에 달하며 AI 툴체인 자체의 공격 표면화가 가속화되고 있다.

Technical Solution

• [빌드 산출물] → [소스맵 파일 식별 및 제거] 수행
• [소스 코드] → [하드코딩된 API 키, 시크릿 문자열 검사] 수행
• [.gitignore 설정] → [.env 파일 및 민감 설정 파일 제외] 확인
• [npm 패키지] → [pack --dry-run으로 포함 파일 사전 검증] 실행
• [npm 패키지 설치] → [min-release-age 설정으로 악성 패키지 차단] 적용

Impact

2026년 3월 AI 생성 코드 기반 CVE 발생 35건, LiteLLM供应链 공격 시 PyPI에서 46분간 47,000회 다운로드 기록

Key Takeaway

코드 생성 속도와 보안 검토 간 격차가 줄어들지 않고 확대되고 있다. AI 코딩 도구를 사용하는 개발자가 자신의 프로덕션 빌드를 직접 확인하지 않는 한 다음 유출의 주인공이 된다.