Archive
바이브코딩 대중화의 그늘 — 티빙 사태가 비개발자에게 남긴 보안 숙제
티빙·에스티유니타스 개인정보 유출 사고를 계기로, 바이브코딩이 대중화된 시대에 비개발자가 꼭 익혀야 할 최소한의 보안 상식을 정리했습니다.
Details
바이브코딩 대중화의 그늘 — 티빙 사태가 비개발자에게 남긴 보안 숙제
지난주, 티빙(882만 회원)과 영단기·공단기를 운영하는 에스티유니타스에서 개인정보 유출 사고가 연이어 터졌습니다. 티빙은 아이디·이름·생년월일·연락처·본인확인 정보(CI/DI) 등이, 에스티유니타스는 회원 정보와 계좌정보가 새어 나갔습니다. 과기정통부는 민관합동조사단까지 꾸렸고요.
특히 티빙은 신고서에서, 깃허브에 하드코딩되어 있던 자격증명을 제거·교체하고 노출된 AWS 액세스 키를 폐기했다고 밝혔습니다. 쉽게 말하면, 비밀번호 같은 열쇠가 코드에 적힌 채 외부에 노출돼 있었다는 얘기입니다. (※ 공식 원인은 아직 조사 중입니다.)
이 뉴스를 보며, AI로 이것저것 만들기 시작하던 초반의 제 모습이 떠올랐습니다. 코드 안에 API 키나 비밀번호를 그대로 넣어두었다가, 한참 뒤에야 그게 문제라는 걸 알게 된 일이 있었거든요. 회사도 사고 규모도 비교할 수 없지만, 부끄럽게도 본질은 닮은 실수였습니다. 문제는, 그게 왜 위험한지, 어디로 새는지 본인은 계속 모를 수 있다는 점입니다.
돌이켜보면 무언가가 대중화될 때마다, 비슷한 일이 반복되는 것 같습니다. 한때 방송은 소수의 전문가가 장비와 시스템을 갖춰야 만들 수 있었지만, 이제는 누구나 휴대폰 하나로 영상을 찍어 올립니다. 세상에 의견을 내놓는 일도 언론사의 몫이었지만, 지금은 일반인이 SNS에 쓴 글 한 줄이 더 큰 영향력을 갖기도 하죠.
분명 좋은 변화입니다. 그런데 진입장벽이 낮아진 만큼, 예전에는 전문가들이 알아서 지켜주던 것들 — 사실 확인, 편집의 책임, 최소한의 규범 — 이 빠진 채로 퍼지는 부작용도 함께 따라왔습니다. 가짜뉴스나 검증 안 된 정보가 그렇게 번졌고요.
그래도 시간이 지나면, 빠졌던 상식은 조금씩 자리를 잡습니다. 저는 이런 걸 볼 때마다 "전자레인지에 금속 용기를 넣으면 안 된다"는 상식이 떠오릅니다.
이 상식도 처음부터 상식은 아니었습니다. 전자레인지가 가정에 퍼지던 시절, 미국 가정 보유율은 1971년 약 1%에서 1986년 25%, 1997년엔 90%를 넘었습니다. 불과 한 세대 만의 일입니다. 그 사이 '금속을 넣으면 불꽃이 튀고 불이 날 수 있다'는 경고는 제조사 사용설명서의 빨간 글씨에서 시작해, 입소문과 학교·가정의 안전 교육을 거치며 누구나 아는 생활 규범으로 내려앉았습니다. 새로운 도구가 대중화될 때는, 늘 이렇게 '상식이 자리 잡는 시간'이 필요했던 셈입니다.
코딩의 대중화도 같은 길을 가고 있다고 봅니다. AI 덕분에 저 같은 비개발자도 사내 도구를 만들고, 데이터를 다루고, 서비스를 띄웁니다. 좋은 일입니다. 다만 예전에는 개발자들이 프로그래밍 기초부터 배우며 당연히 챙기던 것 — 그중 하나가 보안 — 이 빠진 채로 만들어지기 쉽습니다. 보안의 가장 약한 고리는 늘 "이게 위험한 줄도 모르는" 그 수준에서 생기니까요. 전자레인지의 금속 경고가 상식이 되기까지 한 세대가 걸렸듯, 코딩의 보안 상식도 아직 자리 잡는 중인 것 같습니다. 문제는, 그 시간을 기다려주기엔 한 번의 사고가 너무 크다는 점이죠.
대형 사고의 원인이 늘 정교한 해킹인 것도 아닙니다. 방금 본 티빙처럼, 비밀정보를 코드에 그대로 박아두거나 그 파일을 외부에 올리는 — 기본이 안 지켜진 데서 시작되는 경우가 적지 않습니다.
거창한 보안 교육보다, 이 한 줄을 생활 상식으로 만드는 것부터라고 생각합니다.
"전자레인지에 금속 용기 → 안 된다"
"코드·깃허브에 비밀정보 → 안 된다, .env로 분리한다"
비개발자가 AI로 뭔가를 만들기 시작할 때, 딱 세 가지만 몸에 익혀도 어이없는 사고는 꽤 줄일 수 있다고 봅니다.
- 비밀정보(키·비밀번호·토큰)는 코드에 직접 쓰지 않고 .env 같은 별도 파일로 분리한다.
- 그 파일은 외부 저장소(깃허브 등)에 올리지 않는다. (.gitignore 한 번 확인)
- 모르겠으면 AI에게 한 번 더 물어본다 — "여기 보안상 위험한 부분 없는지 점검해줘."
물론 이게 보안의 전부는 아닙니다. 다만 가장 흔하고, 가장 허무하게 뚫리는 지점을 막아주는 최소한의 상식이라고 생각합니다.
AI가 중요해질수록, 역설적으로 보안이 잘 잡혀 있어야 더 안심하고 AI를 활용할 수 있습니다. 속도와 안전의 밸런스를 어디서 잡고 계신지, 여러분의 기준도 궁금합니다.
이 글은 LinkedIn에 처음 공개한 글입니다.