AI 코드 생성의 환각: 소프트웨어 공급망에 대한 새로운 위협
2025-04-12
AI 기반 코드 생성 도구의 부상은 소프트웨어 개발에 혁명을 일으키고 있지만 동시에 소프트웨어 공급망에 새로운 위험을 초래하고 있습니다. 이러한 도구는 존재하지 않는 소프트웨어 패키지를 '환각'하는 경우가 있습니다. 이는 공격자가 악용하는 취약점입니다. 공격자는 악성 패키지를 만들어 PyPI나 npm과 같은 레지스트리에 업로드합니다. AI가 다시 해당 이름을 '환각'하면 종속성 설치를 통해 멀웨어가 실행됩니다. 조사에 따르면 상용 AI의 제안 중 약 5.2%가 존재하지 않는 패키지인 반면, 오픈소스 모델에서는 21.7%에 달합니다. 이러한 '환각'은 이봉성 패턴을 보입니다. 일부 가상 이름은 일관되게 재출현하지만 다른 이름은 완전히 사라집니다. 이러한 유형의 타이포스쿼팅은 'slopsquatting'이라고 불리며 개발자는 AI 생성 코드를 신중하게 검증해야 합니다. Python Software Foundation은 이러한 위험을 완화하기 위해 적극적으로 노력하고 있습니다.
개발