사이버 보안에 취약한 코드 생성해
컴퓨터 프로그래밍을 위한 코드를 자동으로 만들어주는 인공지능(AI) 도구가 보안에 취약하다는 연구결과가 나왔다.
미 스탠포드대 연구진이 코드 생성 AI인 '코덱스(Codex)'를 이용해 실험해 본 결과 개발자가 이 도구로 만든 코드들이 사이버보안에 취약하다는 사실이 밝혀졌다고 테크크런치가 29일(현지시간) 보도했다.
오픈AI가 만든 코덱스는 개발자가 구상한 코드의 일부만 입력해도 문자 자동완성 기능처럼 나머지 코드를 생성해 준다. 글로 주석을 단 프롬프트를 입력해도 코드를 생성해 낸다. 깃허브는 이 도구에 기반한 코파일럿이라는 코드생성기를 만들어 유료로 운영하고 있다.
연구진은 대학 학부생과 경력 수십년의 프로그래머 등 개발자 47명에게 오픈AI가 만든 코덱스를 이용해 파이썬과 자바스크립트, C 등의 컴퓨터 언어로 코드를 생성하도록 했다.
실험결과 코덱스를 이용한 참가자 집단은 이 도구를 이용하지 않은 통제 집단에 비해 사이버 보안 측면에서 안전하지 않은 코드를 만들어냈다. 특히 참가자들은 자신이 코덱스로 생성한 코드가 실제 안전하지 않은데도 안전하다고 믿었다.
따라서 코드생성 AI를 이용하려면 프롬프트 입력과정에서 보안을 고려해 텍스트를 정제하는 것이 필요하다고 연구진은 지적했다.
또 코드생성 시스템은 기본값을 고수하는 경향이 있기 때문에 기본 설정이 안전한지 암호화 전문가가 확인할 필요가 있다고 주장했다.
실험 내용을 토대로 공동 논문을 발표한 닐 페리 연구원은 "현 단계에서 코드 생성 시스템이 인간 개발자를 대체할 수는 없다"면서 "개발자가 자신의 전문 영역이 아닌 과제를 수행하기 위해 이 도구를 활용할 경우 보안문제에 유의해야 한다"고 지적했다.
그는 또 "전문 분야의 과제 수행 속도를 올리기 위해 이 도구를 쓰는 경우도 결과물을 이중 점검하고 전체 코딩의 맥락에 맞는지를 잘 살펴야 한다"고 조언했다.
정병일 위원 jbi@aitimes.com
무단전재 및 재배포 금지
기사제보 및 보도자료 news@aitimes.com