바이브코딩 했다가 해킹당하는 사람들 문제점

바이브코딩 앱의 25%가 보안 결함이 있다는 통계가 있더라고요. AI모델은 '작동하는 코드'를 만드는데 최적화돼있습니다. 빠르게, 에러 없이 돌아가는 MVP를 만드는데 최적화돼있죠. 그래서 '이 코드가 해킹에 취약한가?'를 물어보지 않는 이상 알아서 체크하지는 않습니다. 비개발자들도 많이 시도하다보니 보안 취약점을 확인하는걸 빠트리는 분들도 계시구요. 해커가 바이브 코딩 서비스에 어떻게 침투하는지를 보면 가장 흔한 공격 루트가 세 가지가 있는데요. 1. API 키가 프론트엔드에 노출된 경우 - AI가 코드 생성 AI가 OpenAI API 연동 코드를 짜면서 REACT_APP_OPENAI_KEY=sk-... 를 .env에 넣고, 프론트엔드 JS에서 직접 호출하도록 구성 - 배포 후 브라우저 개발자 도구 열기 해커가 크롬 개발자 도구 → Network 탭 → API 요청 헤더를 보면 API 키가 그대로 노출. 누구나 볼 수 있습니다. - 키 복사 → 무제한 사용 탈취한 키로 GPT-4o를 수천 달러어치 돌림. 피해자는 청구서 받고서야 인지. 실제로 이런 사례로 하룻밤 새 요금 폭탄을 맞은 사례가 있었습니다. 2. SQL Injection - AI가 DB 조회 코드 생성 AI가 SELECT * FROM users WHERE id = ' + userId + ' 형태의 코드 작성. Parameterized query 없이 문자열을 직접 연결. - 해커가 입력값 조작 로그인 폼에 ' OR '1'='1 입력. DB 쿼리가 "모든 사용자를 반환하라"로 변형됨. - 전체 DB 덤프 이름, 이메일, 전화번호, 암호화 안 된 비밀번호까지 통째로 추출 가능. 수만 명 개인정보가 다크웹에 올라감. 3. 인증 없는 API 엔드포인트 - AI가 REST API 생성 빠른 프로토타이핑을 위해 /api/users/all 엔드포인트를 인증 없이 열어둠. 프론트가 직접 불러오게 편의상 설계. - 자동화 스캐너가 발견 해커들은 Shodan, 자동화 봇으로 24시간 인터넷을 스캔합니다. 배포한 지 몇 시간 만에 열린 엔드포인트가 발견될 수 있음. - 인증 없이 전체 데이터 열람 전체 유저 리스트, 개인정보, 결제 이력까지 다 나옴. 기술 수준 낮은 해커도 가능한 공격. 이 세가지는 모두 실제로 일어나고 있는 사례들입니다. 해킹을 막기 위해서 제일 쉽고 기본적인 방법이 뭔지 아세요? AI에게 직접 물어보는 겁니다. 코드 다 짜고 나서 "이 코드의 보안 취약점을 점검해줘. OWASP Top 10 기준으로" 라고 한 번 더 돌려보세요. 생각보다 많이 잡아줍니다. 그 외에도... API 키는 절대 프론트엔드에 두지 말 것. 모든 외부 API 호출은 백엔드(서버) 를 통해서만. Vercel Edge Functions, Supabase Functions 활용하세요. .gitignore에 .env 추가 확인. 배포 전 git status로 민감 파일이 staged 됐는지 직접 눈으로 확인하는 습관 필수. Supabase 쓴다면 RLS는 기본 ON. AI에게 "RLS 포함해서 코드 짜줘"라고 명시적으로 요청하세요. 기본 설정만 믿으면 안 됩니다. 모든 API 엔드포인트에 인증 붙이기. "일단 열어두고 나중에 막자"는 절대 금물. 배포 즉시 봇이 스캔합니다. 사용자 입력은 무조건 서버에서 검증. AI가 생성한 코드에서 SQL, NoSQL 쿼리 부분은 Parameterized query 또는 ORM 사용 여부 반드시 확인. IDOR 체크. 리소스 조회 시 해당 리소스의 소유자인지 서버에서 검증하는 로직이 있는지 확인. URL 숫자 바꿔서 남 것이 보이면 터진 겁니다.