AI는 기능적으로 동작하는 코드를 빠르게 만들지만, 보안은 후순위로 처리하는 경향이 있습니다. SQL 인젝션, XSS, 하드코딩된 시크릿 등이 빈번하게 발생합니다.
바이브코딩 보안 체크리스트 — AI 코드의 안전한 사용
AI가 생성한 코드의 보안 취약점을 점검하는 실용 체크리스트. XSS, SQL Injection, 하드코딩 시크릿, 인증 우회 등 OWASP 기준 취약점 패턴과 자동 스캔 도구 활용법을 정리한다.
한 줄 요약: AI 코드의 보안 위험은 하드코딩된 시크릿, SQL Injection, 입력 검증 누락, 취약한 의존성이며, 자동화된 스캔과 인간 리뷰의 조합으로 방어해야 한다.
AI가 생성한 코드는 동작은 하지만 보안 취약점을 포함할 수 있다. 이 체크리스트는 바이브코딩으로 만든 코드를 프로덕션에 배포하기 전에 반드시 확인해야 할 보안 항목을 정리한다.
왜 AI 코드 보안이 중요한가
가장 흔한 AI 코드 보안 실수: 1) API 키나 비밀번호를 코드에 직접 하드코딩 2) 사용자 입력을 검증 없이 DB 쿼리에 사용(SQL Injection) 3) CORS를 *로 설정 4) HTTP를 사용하거나 HTTPS를 강제하지 않음 5) 에러 메시지에 스택 트레이스나 내부 정보 노출.
보안 취약 코드 vs 안전한 코드// ❌ AI가 자주 만드는 취약한 코드 const API_KEY = 'sk-abc123'; // 하드코딩 app.use(cors({ origin: '*' })); // 모든 도메인 허용 // ✅ 안전한 코드 const API_KEY = process.env.API_KEY; // 환경 변수 app.use(cors({ origin: 'https://myapp.com' }));
10가지 체크리스트
- 환경변수에 시크릿이 하드코딩되어 있지 않은가?
- 사용자 입력이 적절히 검증/이스케이프되는가?
- SQL 쿼리가 파라미터화되어 있는가?
- CORS 설정이 적절한가?
- 인증/인가 로직이 올바른가?
- 의존성 패키지에 알려진 취약점이 없는가?
- 에러 메시지가 내부 정보를 노출하지 않는가?
- HTTPS가 강제되는가?
- 파일 업로드 검증이 있는가?
- rate limiting이 구현되어 있는가?
자동 보안 검사 도구
수동 체크 외에 자동화 도구 활용을 권장합니다: npm audit, Snyk, CodeRabbit(AI 코드 리뷰), GitHub Dependabot 등.
자동화된 보안 스캔 도구
npm audit: Node.js 의존성 취약점 스캔. Snyk: 코드 + 의존성 + 컨테이너 스캔. GitHub 연동으로 PR마다 자동 실행. GitHub Advanced Security: Secret scanning(커밋된 API 키 감지) + CodeQL(코드 분석). ESLint 보안 플러그인: eslint-plugin-security로 위험 패턴 감지.
필수: GitHub의 Secret Scanning을 반드시 활성화하라. API 키가 실수로 커밋되면 즉시 알림을 받을 수 있다. 이미 커밋된 시크릿은 키를 즉시 폐기하고 새로 발급해야 한다 — git history에서 삭제하는 것만으로는 부족하다.
바이브코딩보안체크리스트취약점안전