[아이티데일리] 인공지능(AI) 어시스턴트가 빠르게 입지를 넓히며 워크플로우의 핵심 요소로 자리 잡고 있다. 생성형 AI 코딩 어시스턴트는 소프트웨어 엔지니어의 애플리케이션 개발 방식에 혁신을 불러일으킬 것으로 기대된다.

AI 코딩 어시스턴트는 단순한 코드 생성 및 완성을 넘어, 브레인스토밍을 지원하고 코드 품질을 향상시키며 개발 효율성을 높이는 역할을 한다. 가트너는 2028년까지 인간과 AI 어시스턴트의 협업이 코딩 작업 시간을 30% 단축할 것으로 예측했다.

이러한 신기술은 혁신을 가져올 것으로 각광받지만, 여러 잠재적 위험도 도사리고 있다. 최근 가트너 설문조사에 따르면, IT 리더 3명 중 1명은 생성형 AI가 조직 운영 방식을 근본적으로 변화시킬 것으로 기대하면서도 데이터 보안, 부정확성, 오용, 거버넌스를 관련 우려 사항으로 꼽았다. 이에 소프트웨어 엔지니어링 리더는 AI 코딩 어시스턴트 도입으로 발생할 수 있는 주요 보안 위협과 그 영향을 철저하게 이해하고, 이를 완화할 수 있는 전략을 수립해야 한다.

AI 코딩 어시스턴트 과한 의존에 대한 도구 이용 고려해야

대규모언어모델(LLM)은 다양한 코드 샘플을 통해 학습하는데, 이 과정에서 악의적으로 혹은 실수에 의해 보안 취약점이 포함된 코드 샘플을 학습할 수도 있다. 이런 학습 결과물을 검토 없이 그대로 수용한다면 애플리케이션 보안 문제가 발생할 수 있다. 만약 개발자가 미숙해 AI 코딩 어시스턴트에 과도하게 의존할 경우 이러한 위험은 더욱 악화될 수 있다.

이를 해결하기 위해 애플리케이션 보안 테스트(Application Security Testing, AST)를 활용할 수 있다. 정적 애플리케이션 보안 테스트(Static Application Security Testing, SAST)와 동적 애플리케이션 보안 테스트(Dynamic Application Security Testing, DAST)와 같은 자동화된 보안 스캔 도구를 활용한다면 코드 취약점을 효과적으로 발견할 수 있다.

또한 소프트웨어 엔지니어를 대상으로 AI 코딩 어시스턴트에 지나치게 의존하는 것에 대한 위험성을 교육하고, 교육을 이수한 사람에게만 도구를 사용할 수 있도록 제한하는 것도 고려해야 한다.

이 밖에도 사용자에게 다양한 AI 생성 결과를 제시하고 원하는 응답을 직접 선택할 수 있도록 하는 도구를 선택해, 사용자가 여러 제안을 검토하고 부적절한 답변을 걸러내는 방법도 있다. 부적절한 답변에 대해서는 코드 보안 어시스턴트로 추가적인 보완을 진행할 수 있다.

지적재산권(IP) 침해 역시 각별히 주의해야 할 위험이다. AI 코딩 어시스턴트가 코딩하는 과정에서 다른 조직이 소유한 복사 방지 코드를 무단 생성하게 될 수 있다. 이는 지적재산권 및 저작권 문제로 불거질 수 있으며, LLM의 학습 코드 라이선스 및 소유권 문제로 이어져 기업에 상당한 위험을 초래한다.

지적재산권 침해 위험을 최소화하기 위해, 소프트웨어 엔지니어링 리더는 외부 업체와 협력해 공급업체가 보유한 지적재산권 보호 방안을 면밀히 검토해야 한다. 그중에서도 AI 코딩 어시스턴트 학습 데이터는 지적재산권 침해의 주요 원인이 될 수 있기에 사용된 데이터의 출처를 확실하게 파악하는 것이 중요하다. 소프트웨어 구성 분석 도구를 도입하면 소프트웨어 패키지의 라이선스 문제를 식별해 추가적인 보안 계층을 제공, 법적 문제가 발생하는 것을 사전에 방지할 수 있다.

악의적인 공격자가 의도적으로 안전하지 않거나 유해한 데이터를 LLM에 추가한다면 악성 데이터로 인한 위험은 커지게 된다. 이는 AI 코딩 어시스턴트가 취약하거나 부정확한 출력을 하게 만들고, 심지어는 악성 코드를 생성하도록 유도한다.

이러한 문제를 방지하기 위해서는 공급업체가 학습 데이터의 출처를 확인해 악의적인 데이터 추가를 차단하게 하는 작업이 반드시 필요하며, 이 과정을 제3자가 검토해 평가하게 해야 한다.

또한 AI 모델이 주기적으로 업데이트되는지를 확인해야 하는 작업이 필요하다. 정기적인 개선과 업데이트는 개인정보를 보호하고 지적재산권 침해 데이터를 제거할 수 있을 뿐만 아니라 시스템의 데이터 보호 수준, 성능, 정확도를 향상시킬 것이다. 추가적으로 애플리케이션 보안 테스트(AST)를 추가적인 방어 계층으로 활용한다면 의도성을 가진 악의적인 출력을 식별하고 차단할 수 있다.

적대적 프롬프팅 대비 위한 보안 대응 체계 구현

마지막으로 적대적 프롬프팅(Adversarial Prompting)은 악의적인 공격자가 LLM의 동작을 조작하기 위해 사용하는 공격 기법이다. 이는 오픈소스 LLM을 손상시킬 뿐만 아니라, 상용 LLM에도 악영향을 끼쳐 AI 코딩 어시스턴트의 동작에 의도치 않은 변화를 만들어낼 수 있다. 이는 조작된 프롬프팅을 통해 LLM이 승인되지 않은 작업을 수행하도록 유도하는 ‘프롬프트 인젝션(Prompt Injection)’으로, 적대적 프롬프팅 기법 중에서도 특히 위험한 공격으로 꼽힌다.

적대적 프롬프팅에 대비하기 위해 소프트웨어 엔지니어링 리더는 외부 전문가와 협력해 공급업체의 보안 대응 체계를 평가해야 한다. 특히 프롬프트 인젝션을 포함한 적대적 프롬프팅에 대한 방어 전략이 잘 마련돼 있는지가 중요하다. 이러한 방어 전략을 통해 소프트웨어 엔지니어링 리더는 AI 코딩 어시스턴트 도입으로 인한 보안 위협으로부터 시스템을 효과적으로 보호하는 동시에 안정적인 성능을 보장할 수 있다.

AI 코딩 어시스턴트는 코딩 작업에 소요되는 자원과 시간을 획기적으로 줄일 수 있는 혁신적인 기술로, 점점 많은 기업들이 도입하고 있다. 그런 만큼, 이와 관련된 보안 이슈가 발생하게 되면 더 큰 파장과 심각한 위험이 발생하게 될 것이다.

하지만 보안 침해가 우려된다고 해서 도입을 미루거나 포기해 혁신을 늦출 수는 없다. 꼼꼼한 출처 확인, 보안 과정의 제3자 검토, 내부 직원 교육 등 체계적인 보안 관리를 통해 위협을 최소화하는 전략이 필요한 시점이다. 이러한 사전적 대비를 갖춰야만 AI 코딩 어시스턴트가 진정한 워크플로우의 핵심으로 자리 잡게 될 것이다.