2026년에 작성된 모든 새 코드의 41%가 AI 생성입니다. Gartner는 이것이 2028년까지 소프트웨어 결함을 2,500% 증가시킬 것이라 예측합니다. 그리고 이번 달, Anthropic은 자사 최신 모델이 심각한 소프트웨어 취약성을 자율적으로 발견하고 익스플로잇할 수 있음을 입증했습니다 — 그런 다음 일반 출시를 보류했습니다. 산업은 “AI가 코드 작성을 도울 수 있다"에서 “AI가 대규모 코드베이스에 걸쳐 결함을 빠르게 발견, 검증, 익스플로잇할 수 있다"로 전환했습니다. 그 전환 뒤의 숫자는 엔터프라이즈 보안과 AI 코드 리뷰에 대한 새로운 접근을 요구합니다.
대부분의 AI 보안 커버리지는 생성 위험에 초점을 맞춥니다. 이 분석은 리뷰 격차 — 그리고 결함 물결이 도착하기 전에 엔터프라이즈가 해야 할 아키텍처 변경 — 에 초점을 맞춥니다.
2026년에 얼마나 많은 코드가 AI 생성인가?
현재 상황:
- 84%의 개발자가 AI 코딩 도구 사용; 51%가 매일 사용
- **엔터프라이즈 소프트웨어 엔지니어의 90%**가 2028년까지 AI 코드 어시스턴트를 사용할 것(Gartner, 75%에서 상향 수정)
그 채택률은 측정 가능한 다운스트림 결과를 생산하고 있습니다:
- Gartner는 프롬프트-투-앱 접근이 2028년까지 소프트웨어 결함을 2,500% 증가시킬 것이라 예측
- 2028년까지 **엔터프라이즈 사이버보안 사건 대응의 50%**가 AI 주도 애플리케이션 사건에 초점
- AI 에이전트는 2027년까지 계정 노출 익스플로입 시간을 50% 단축
이것은 이론적 위험이 아닙니다. AI 생성 코드가 코드 보증보다 빠르게 스케일링하는 것의 예상된 결과입니다.
AI 기반 취약성 발견: 실제 결과
방어 역량은 실재하며 모든 주요 AI 벤더에 걸쳐 가속화되고 있습니다.
Anthropic: Claude와 Project Glasswing
Anthropic은 Claude Opus 4.6이 잘 테스트된 오픈소스 코드베이스에서 500개 이상의 고심각도 취약성을 발견했으며, 그 중 수십 년 동안 감지되지 않았던 버그도 포함된다고 보고했습니다. 별도의 Mozilla 협업에서, Claude는 2주 만에 22개의 Firefox 취약성을 발견했으며, 14개가 고심각도로 평가되었습니다. Project Glasswing을 통해, Anthropic은 오픈소스 보안 조직에 최대 1억 달러의 사용 크레딧과 400만 달러의 기부를 약정하고 있습니다.
Google: Big Sleep과 Project Zero
Google의 Big Sleep 에이전트 — Project Zero와 DeepMind의 협업 — 은 오픈소스 소프트웨어에서 20개의 보안 취약성을 발견했습니다. 그 중 하나, SQLite의 CVE-2025-6965는 위협 행위자만이 이전에 알던 결정적 메모리 손상 결함이었습니다. Google은 이것이 AI 에이전트가 활성 익스플로잇 시도를 직접 좌절시킨 첫 사례라고 주장합니다. Big Sleep은 또한 FFmpeg에서 13개의 취약성을 발견했지만, 공개 프로세스는 일부 보고서를 “CVE slop"이라 부른 유지보수자와 마찰을 생성했습니다 — AI 규모 발견과 업스트림 유지보수 용량 사이의 긴장을 부각.
OpenAI와 GitHub: Codex Security와 Copilot Autofix
OpenAI의 Codex Security는 베타 기간 동안 120만 개 이상의 커밋을 스캔했고, 792개의 결정적 및 10,561개의 고심각도 발견을 찾았으며, OpenSSH, GnuTLS, PHP, Chromium을 포함한 프로젝트에 취약성을 보고하는 데 도움을 주었고, 14개의 CVE가 할당되었습니다. GitHub의 Copilot Autofix는 2025년에 460,258개의 보안 경고를 해결했으며, 평균 수정 시간을 1.29시간에서 0.66시간으로 단축했습니다 — 거의 2배 빠름.
| 도구 | 범위 | 핵심 발견 |
|---|---|---|
| Anthropic Claude Opus 4.6 | 오픈소스 코드베이스 | 500개 이상의 고심각도 취약성 |
| Mozilla + Claude | Firefox | 2주 만에 22개 취약성, 14개 고심각도 |
| Google Big Sleep | 오픈소스(SQLite, FFmpeg) | 활성 익스플로잇 포함 20개 취약성 |
| OpenAI Codex Security | 120만 커밋 스캔 | 792개 결정적, 10,561개 고심각도 발견 |
| GitHub Copilot Autofix | GitHub 저장소 | 2025년 460,258개 보안 경고 해결 |
영국의 National Cyber Security Centre는 비슷한 결론에 도달합니다: AI가 사이버 침입의 요소를 “거의 확실히” 더 효과적으로 만들고, 사이버 위협의 빈도와 강도를 높이며, 보조를 맞추는 조직과 그렇지 못한 조직 간의 디지털 격차를 만들 것입니다.
AI 생성 코드 취약성: 데이터
방정식의 후반부는 덜 편안합니다.
Georgetown University’s Center for Security and Emerging Technology는 테스트된 5개 모델이 생성한 코드 스니펫의 거의 절반이 “종종 영향이 크고 악의적 익스플로잇으로 이어질 수 있는” 버그를 포함함을 발견했습니다. GitHub Copilot에 대한 “Asleep at the Keyboard” 연구는 89개의 고위험 CWE 시나리오에 걸친 **1,689개 생성 프로그램의 40%**가 취약함을 발견했습니다. Stanford와 DryRun Security의 더 최근 데이터는 Copilot 풀 리퀘스트의 87%가 취약성을 도입하며, AI 생성 코드가 인간 작성 코드보다 2.7배 더 높은 취약성 밀도를 갖는다고 제안합니다.
공급망 차원이 이를 악화합니다. 패키지 환각에 대한 USENIX Security 논문은 코드 생성 LLM이 576,000개의 생성 샘플에 걸쳐 **상용 모델의 경우 5.2%, 오픈소스 모델의 경우 21.7%**의 비율로 존재하지 않는 패키지를 추천함을 발견했습니다. 공격자는 반복된 환각을 이용해 그 환영 이름으로 악성 패키지를 게시할 수 있습니다.
그리고 구체적 재정적 비용이 있습니다. IBM의 2025 Cost of a Data Breach 보고서는 미국 평균 유출 비용을 기록적인 1,022만 달러로 둡니다. Shadow AI — 개발 워크플로에서 승인되지 않은 AI 도구 — 는 유출당 평균 67만 달러와 감지 및 봉쇄에 10일 추가를 발생시켰습니다. AI 관련 보안 사건을 경험한 조직의 97%가 적절한 AI 접근 통제가 부족했으며, 63%는 공식 AI 거버넌스 정책이 전혀 없었습니다.
버그를 일찍 잡는 ROI
코드의 41%가 AI 생성일 때 시프트-레프트 보안의 경제학이 증폭됩니다. IBM의 Systems Sciences Institute는 릴리스 후에 발견된 버그를 수정하는 비용이 설계 중에 식별된 것보다 최대 100배 더 든다고 발견했습니다. IBM의 2025 보고서에 따르면 보안 프로그램에서 AI와 자동화를 광범위하게 사용하는 조직은 이미 유출당 190만 달러를 절약하고 유출 수명 주기를 80일 단축합니다. AI-인-리뷰의 경제적 사례는 AI-인-제네레이션의 위험 사례만큼 강력합니다.
AI 파이프라인을 표적으로 하는 소프트웨어 공급망 공격
이것은 이론적 위험이 아닙니다. 지금 일어나고 있습니다.
2026년 3월, LiteLLM 공급망 공격이 하루 340만 번 다운로드되는 PyPI 패키지를 침해했습니다. 공격자는 3단계 페이로드를 배포했습니다: 50개 이상의 범주의 시크릿을 표적으로 하는 자격 증명 수집기, Kubernetes 측면 이동 툴킷, 그리고 지속적 백도어. 진입점은 Trivy 취약성 스캐너 — 보안 도구 자체 — 의 이전 침해였습니다.
또한 2026년 3월, TeamPCP가 Trivy GitHub Action에 75개의 악성 버전 태그를 강제 푸시하여, 수천 건의 저장소에 걸쳐 CI/CD 파이프라인에 자격 증명 탈취 페이로드를 주입했습니다. 보안 스캐너 — 취약성을 감지하기 위해 만들어진 도구 — 가 AI 공급망에 대해 무기화되었습니다.
IBM X-Force는 2020년 이후 대규모 공급망 침해가 거의 4배 증가했음을 보고합니다. ReversingLabs의 2026 보고서는 오픈소스 플랫폼의 멀웨어가 73% 증가했으며, AI 개발 파이프라인을 표적으로 하는 공격이 특히 집중되고 있다고 보여줍니다. 공급망 공격은 2024년 초 월 13건에서 2025년 10월까지 월 41건으로 증가했습니다. 2025년, 두 개의 주요 npm 생태계 공격이 AI 생성 코드를 사용해 526개 이상의 패키지에서 자격 증명을 탈취했습니다.
OpenAI 자체의 2026년 4월 Axios 사건은 AI 벤더 자체도 노출되어 있음을 보여주었습니다: 악성 Axios 버전이 OpenAI의 macOS 서명 프로세스에 사용된 GitHub Actions 워크플로에 의해 다운로드되고 실행되었습니다. 근본 원인은 워크플로 구성 오류 — 특정 커밋 해시 대신 부동 태그 — 였습니다.
패턴은 재귀적입니다: AI가 취약성을 포함한 코드를 생성하고, 그 취약성을 잡기 위해 만들어진 보안 도구가 자체적으로 침해되며, 보조를 맞추는 유일한 방법은 동일한 강도로 방어 측에 AI를 배포하는 것입니다. 이것은 인간 규모 리뷰만으로 해결할 수 있는 문제가 아닙니다.
공격 표면으로서의 AI 개발 도구: OWASP Top 10 for LLMs
AI가 IDE, 코드 리뷰 봇, CI 워크플로, 브라우저 에이전트에 내장되면, 문제는 “모델이 버그가 있는 코드를 작성하는가?“를 넘어 “환경에 어떤 새 실패 모드를 추가했는가?“로 확장됩니다.
GitHub 자체의 VS Code 에이전트 모드에 대한 보안 연구는 간접 프롬프트 인젝션이 명시적 사용자 동의 없이 GitHub 토큰, 기밀 파일을 노출하거나 임의 코드 실행을 가능케 할 수 있음을 보여줍니다. OpenAI의 에이전트 안전 가이드는 프롬프트 인젝션이 “흔하고 위험하다"고 말합니다. Microsoft의 제로 트러스트 가이드는 조직이 간접 프롬프트 인젝션을 불가피하다고 가정하고 봉쇄를 위해 설계해야 한다고 말합니다.
OWASP Top 10 for LLM Applications 2025는 이러한 위험을 성문화합니다. 10개 범주 중 7개가 2023년 버전에서 변경되었으며, 다음을 위한 새 항목이 있습니다:
- 과도한 에이전시 — 도구와 행동에 대해 너무 많은 통제가 부여된 LLM
- 시스템 프롬프트 유출 — 숨겨진 시스템 지침의 노출
- 벡터와 임베딩 약점 — RAG와 벡터 데이터베이스 익스플로잇
- 무제한 소비 — 리소스 고갈과 비용 공격
공급망이 3번 자리로 올라갔습니다. 민감 정보 공개가 2번으로 이동했습니다. 프롬프트 인젝션은 1번으로 남아 있습니다.
MITRE ATLAS — AI 시스템을 위한 적대적 위협 프레임워크 — 가 응답으로 빠르게 확장되었습니다. 버전 5.4.0(2026년 2월)은 84개 기술, 56개 하위 기술, 42개 실제 사례 연구를 포함하며, “Publish Poisoned AI Agent Tool"과 “Escape to Host"를 포함한 새 기술이 추가되었습니다. 2026년 1월, ATLAS는 MCP 서버 침해와 MCP 채널을 통한 간접 프롬프트 인젝션을 다루는 사례 연구를 추가했습니다. AI 지원 적대자 공격은 연간 89% 급증했습니다.
엔터프라이즈 AI 코드 리뷰 파이프라인 구축
AI 기반 코드 리뷰를 위한 사례는 코딩 어시스턴트가 나쁘다는 것이 아닙니다. 코드 생성이 인간 리뷰가 보증을 스케일링하는 것보다 빠르게 출력을 스케일링한다는 것입니다. Anthropic은 “가까운 미래에 세계 코드의 상당 부분이 AI에 의해 스캔될 것"이라 말합니다. OpenAI는 Codex Security를 시스템 컨텍스트를 구축하고, 위협 모델을 만들고, 발견을 검증하며, 패치를 제안하는 애플리케이션 보안 에이전트로 위치시킵니다.
NIST SP 800-218A는 의무를 명시적으로 만듭니다: 리뷰 표준은 인간 작성 코드와 AI 생성 코드를 구분하지 않습니다, 모든 소스 코드는 사용 전 취약성에 대해 평가되어야 하기 때문입니다. CISA는 동일한 원칙을 확장합니다: “소프트웨어는 설계부터 안전해야 하며, 인공지능도 예외가 아닙니다.”
엔터프라이즈 팀을 위한 실용적인 단기 아키텍처:
- 인간 리뷰된 AI 생성 — 개발자는 아키텍처 결정에 대해 루프에 남아 있습니다
- 자동화된 SAST 및 CodeQL 스캐닝 — 커밋 시점에 알려진 취약성 패턴 잡기
- 의존성 리뷰와 시크릿 스캐닝 — 병합 전 공급망 위험과 자격 증명 유출 차단
- AI 기반 취약성 리뷰 — 의무적 게이트로서 Anthropic의 Claude Code Security, OpenAI의 Codex Security, 또는 GitHub Copilot Autofix
- 지속적 모니터링 — 정적 분석이 잡을 수 없는 행동에 대한 런타임 탐지
GitHub의 Copilot 코딩 에이전트는 이제 모든 풀 리퀘스트에 대해 CodeQL 분석, 의존성 리뷰, 시크릿 스캐닝을 자동으로 실행합니다 — GitHub Advanced Security 라이선스 불필요. Copilot의 AI 기반 시크릿 탐지는 테스트에서 94%의 거짓 양성 감소를 달성했습니다.
AI 보안 개발 파이프라인 설계에 도움이 필요하신가요? 아키텍처 리뷰를 위해 Big Hat Group에 문의하세요.
Azure Virtual Desktop과 Windows 365를 활용한 피해 반경 설계
피해 반경 설계는 민감한 워크로드를 격리하고, 측면 이동을 제한하며, 공격자가 어느 진입점에서든 도달할 수 있는 데이터와 시스템을 최소화함으로써 단일 침해로부터의 피해를 제한하는 보안 아키텍처 원칙입니다.
침해 확률이 상승한다면 — 그리고 모든 데이터 소스가 그렇다고 말합니다 — 피해 반경 축소는 예방만큼 중요해집니다.
Microsoft의 Azure Virtual Desktop과 Windows 365 Cloud PC 플랫폼은 관리자에게 피해를 줄이는 실제 통제를 제공합니다: 전체 데스크톱 대신 개별 애플리케이션을 제시하는 앱 전용 전달, 아웃바운드 트래픽을 잠그는 Azure Firewall, MFA와 정책 강제를 위한 Conditional Access, 한쪽 또는 양쪽 방향으로 비활성화할 수 있는 클립보드와 드라이브 리디렉션, 그리고 관리되는 환경에서 어떤 코드가 실행되는지 제한하는 Application Control for Windows.
민감하거나 레거시 애플리케이션을 위한 방어 가능한 패턴: 가능하면 앱 전용 전달, 엄격하게 범위가 지정된 네트워크 송신, 불필요한 로컬 리디렉션 없음, 강력한 ID 통제, 애플리케이션 허용 목록. 현대 VDI와 Cloud PC 플랫폼은 그 봉쇄 아키텍처를 예전의 “모든 것을 로컬 워크스테이션에” 모델보다 훨씬 더 운영하기 쉽게 만듭니다. (이것이 Big Hat Group이 Windows 365 Cloud PC에서 민감한 애플리케이션을 운영하는 고객을 위해 배포하는 아키텍처 패턴입니다.)
Big Hat Group은 이러한 정확한 봉쇄 패턴을 갖춘 Windows 365 Cloud PC와 Azure Virtual Desktop 환경을 배포합니다. 조직이 민감하거나 레거시 애플리케이션을 운영한다면, 문의하세요 — 환경을 위한 피해 반경 아키텍처를 논의해 보세요.
Microsoft Secure Future Initiative: 엔터프라이즈 영향
이것은 사이드 프로젝트가 아닙니다. Microsoft의 Secure Future Initiative는 보안에 종사하는 35,000명의 정규 엔지니어에 해당하는 노력 — 디지털 역사상 가장 큰 사이버보안 엔지니어링 노력 — 을 나타냅니다. 결과에는 코드 내 라이브 시크릿의 99.5% 탐지 및 수정, 99.6%의 피싱 저항 MFA 강제, Microsoft 참조 아키텍처의 새로운 Zero Trust for AI 기둥, 그리고 Microsoft 365의 전용 AI Administrator 역할이 포함됩니다.
Microsoft는 다른 조직이 SFI 원칙을 채택할 수 있도록 실용적인 “Patterns and Practices” 가이드를 게시했으며, Microsoft 직원의 95%가 AI 기반 사이버공격 방어에 대한 교육을 완료했습니다. AI 거버넌스 프로그램을 구축하는 엔터프라이즈에게 SFI 프레임워크는 입증된 시작점을 제공합니다.
엔터프라이즈 AI 보안 체크리스트: 2026년을 위한 6가지 행동
결론은 명확합니다: Mythos가 헤드라인이지만, 진정한 전략적 변화는 취약성 발견의 산업화와 봉쇄를 위한 파이프라인과 워크스테이션 재설계의 필요입니다.
1. AI 도구 인벤토리 감사
Shadow AI가 유출당 67만 달러를 추가했으며 AI 관련 유출의 97%가 적절한 접근 통제가 부족했습니다. 환경에서 어떤 AI 도구가 실행 중인지 아세요. IBM은 63%의 조직이 공식 AI 거버넌스 정책이 없음을 발견했습니다.
2. 병합 게이트에 AI 기반 보안 리뷰 추가
GitHub Copilot Autofix, Anthropic Claude Code Security, OpenAI Codex Security 모두 지금 사용 가능합니다. 보안 리뷰를 선택적 사후 생각이 아닌 의무적 파이프라인 단계로 만드세요. 커밋 시점에 잡힌 버그는 프로덕션에서 발견된 것보다 100배 저렴합니다.
3. 소프트웨어 공급망 강화
의존성을 특정 커밋 해시에 고정하세요. 새 패키지를 위한 최소 릴리스 나이를 구성하세요. 모든 풀 리퀘스트에 의존성 리뷰를 실행하세요. LiteLLM과 Trivy 공격은 보안 도구조차 침해될 수 있음을 보여줍니다.
4. 피해 반경 통제 구현
민감한 애플리케이션의 앱 전용 전달을 위해 Azure Virtual Desktop 또는 Windows 365를 사용하세요. 클립보드, 드라이브 리디렉션, 아웃바운드 네트워크 접근을 제한하세요. 애플리케이션 허용 목록을 적용하세요.
5. AI 거버넌스 프레임워크 채택
NIST AI 600-1, OWASP Top 10 for LLM Applications, MITRE ATLAS가 분류법을 제공합니다. Microsoft의 SFI Patterns and Practices가 플레이북을 제공합니다. CISA의 Secure by Design 원칙은 인간 코드와 마찬가지로 AI 코드에 적용됩니다.
6. 팀 교육
Gartner는 2027년까지 엔지니어링 인력의 80%가 생성형 AI를 위해 기술 향상이 필요할 것이라 말합니다. 보안 인식은 별도 트랙이 아닌 그 교육의 일부여야 합니다.
AI 지원 개발 시대의 승자는 AI 코드를 더 빨리 생성하는 팀이 아닙니다. AI 생성 코드를 더 빨리 리뷰하고, 취약성을 더 빨리 패치하고, 엔터프라이즈 보안 통제를 통해 실패를 더 잘 봉쇄하는 팀입니다.
Big Hat Group은 안전한 Azure와 Windows 365 환경 내에 AI 에이전트를 배포하도록 엔터프라이즈를 돕습니다 — 거버넌스 프레임워크와 AI 보안 리뷰 파이프라인부터 피해 반경 아키텍처까지. 문의하세요 — 이러한 엔터프라이즈 AI 컨설팅 역량이 조직에 어떻게 맞는지 논의해 보세요.