AI 코드 생성 도구가 보안 취약점이 있는 코드를 배포하면서 CVE 수 6개(2026년 1월)에서 35개 이상(2026년 3월)으로 급증

Context

AI가 생성한 코드가 정확해 보이고 간단한 검토를 통과한 후 프로덕션에 배포되는 사례가 증가했다. 그 결과 데이터베이스 노출, 주문 손실, 사용자 상호작용이 필요 없는 보안 취약점이 발생했다.

Technical Solution

• 코드 이해도 검증: AI 생성 코드 배포 전에 엔지니어가 데이터 구조, 알고리즘, 시스템 설계를 분석하고 소프트웨어의 실제 동작을 검증
• 일반적 취약점 점검: 5개 주요 AI 코딩 도구 15개 앱 검사 결과 모든 앱에서 CSRF 보호 누락, 모든 도구에서 SSRF 취약점 도입을 확인하고 이를 사전 예방

Impact

CVE 수가 2026년 1월 6개에서 2026년 3월 35개 이상으로 증가했다. Tenzai 연구에서 5개 주요 AI 코딩 도구가 생성한 15개 앱에서 69개의 취약점을 발견했다.

Key Takeaway

AI는 출력 결과를 이해하는 개발자가 사용할 때 강력한 도구이지만, 그렇지 않으면 리스크가 된다. 코드가 배포되기 전에 실제 동작을 이해하고 검증하는 과정이 필수적이다.