(입원실에서 쓴) Cybersecurity의 Perfect Storm이 오고 있다: 바이브 코딩과 사이버 보안
나는 아프지만 창은 날카로워지고 방패는 얇아졌다
현재 2500명으로 꽉 차있는 주실밸 스타트업/VC/인공지능 오픈카톡방 비번은 매주 뉴스레터에 그 비번이 공유될 예정이고 뉴스레터 발송일 당일만 입장이 가능합니다.
안녕하세요 구독자여러분, 이안입니다.
오늘은 새벽에 병상에 앉아서 반성과 다짐을 담아 쓴 일기와 함께 뉴스레터를 시작하려고 합니다.
저는 나태했습니다
늘 영생할거라 외치고, 잘 챙겨먹고, 매일 운동하며 건강에 자신있어하던, 제가 명확하지 않은 이유(과로 + 스트레스)로 기흉이 생겨서 한쪽 폐가 작아지는 경험을 하며 입원을 했습니다 ㅠㅠ 다행히도 다른 폐가 건강해서 많이 힘들진 않았고, 정밀 검사 결과 큰 문제가 없어서 간단한 시술후 3일만에 퇴원할 예정입니다. 체한줄알고 방문한 동네병원에서 바로 엑스레이를 찍을수 있는 한국이 아니었다면 훨씬 큰 고통을 느낀후에야 응급실에서 발견했을거라 생각하니 한국에 있었던게 다행이라는 생각이 듭니다.
다시 건강한 루틴으로
지난 몇달간 한국과 미국을 쉴새없이 넘나들며, 시차적응은 필요없다며, 미팅이라는 핑계로 매일매일 과로했던 제 자신이 너무나도 부끄러워진 순간이었습니다. 영생할거라며, 웰니스가 코어라며, 건강해야 한다고, 입으로만 말하고, 그동안 나태하게 생활한 부분을 반성하고 고치기 위해서 부끄럽지만 이렇게 구독자 여러분들께 공유드립니다 (이게 사실 주실밸의 존재 이유중 하나입니다; 혼자서 스스로에게 peer pressure ㅋㅋㅋ). 그래서 저는 이번 일을 계기로, 매일 밤 10시에 자고, 아침 6시에 라이브 팟캐스트를 하던 예전의 일상으로 돌아가려고 합니다 (한국에서는 샌프란 아침 6시에 맞춰 매일 밤 10시 고려중). 그리고 현재 건강상황상 앞으로는 저녁 약속도 음주없이 9시에 최대한 마쳐야할 것 같으니 ㅠㅠ 많은 양해 부탁드립니다.
건강이 없다면 아무것도 없다
제가 맹장수술이후로 처음으로 입원하면서 느낀건데, 당연한거지만 건강이 없으면 아무것도 없습니다 (No health, No nothing). 그리고 이유가 명확하지 않은 (혹은 명확해도) 질병으로 아프다는게 어쩌면 좀 억울하고 (why me? why now?) 남들이 공감은 해주지만 이해하지는 못하는 혼자만의 외로운 싸움이라는 생각이 들었습니다.
이번 일을 겪으면서 큰 병으로 아팠던 친구들과 지인들이 생각나면서 그들이 느꼈을 억울함과 외로움을 공감하게 되면서, 그들이 혼자 견뎌냈을 그 시간들이 이제와서 너무 가슴이 아프고 슬프더라구요 (입원실에서 새벽에 급 F 모먼트로 문자함…). 사람은 살아가면서 본인이 직접 겪어봐야 남을 공감할 수 있다는 말이 또 한번 떠오르면서, 이번 사태를 통해 남들을 좀 더 공감하고 이해할 수 있는 부분이 늘어났다는 것도 감사하며 더 열심히, 더 건강하게 살아가려고 합니다.
한국 일정은 10월말까지로 변경
신세한탄이 길었는데, 일단 여기까지만 하고, 일단 주치의선생님께서 10월 중순까지는 비행은 자제해야한다고 하셔서 한국 일정을 10월 말까지로 조정중이니 그 기간중 행사나 커피챗을 원하시는 분들은 ian@ianpark.vc로 편하게 연락부탁드립니다. 감사합니다!
그럼 이제 본격적으로 오늘의 토픽에 대해 생각해 보겠습니다.
인공지능이 벼린 창, 바이브코딩이 쪼갠 방패
이미 지긋지긋하게 들으셨겠지만, 스타트업 생태계는 지금 바이브코딩(vibe coding), 즉 AI가 코드를 작성하고 배포까지 맡아주는 개발 방식이 휩쓸고 있습니다. 몇 명 되지 않는 팀이 대기업 수준의 속도로 서비스를 내놓을 수 있다보니 1인 유니콘이라는 현실성 없는 이야기도 아래 글처럼 계속 회자되고 있구요.
하지만 이 트렌드는 어마어마한 혁신인 동시에, 조금만 더 생각을 하고 속을 들여다보면 점점 커져가고 있는, 곧 터지고야 말, 시한폭탄이라는 생각이 들어서 오늘 글을 쓰게 되었습니다.
방패는 얇아지고, 창은 날카로워졌다.
인공지능때문에 얇아지는 방패
말씀드렸다시피 요즘 대 유행인 바이브 코딩에는 치명적인 단점이 있는데, 이는 바이브 코딩을 하는 사람들의 많은 수가 코딩과 보안의 기본조차 모른다는 것이고, 바이브 코딩에만 기대서는 보안이 취약한 프로덕트를 만들수밖에 없다는 점입니다.
2021년 MIT와 NYU 연구팀은 GitHub Copilot이 자동 생성한 코드의 40% 이상에서 보안 취약점을 발견했습니다. 이를 인지한 깃헙팀이 새로운 보안툴들을 적용하였음에도 불구하고 2025년에도 30%이상이 최소 한가지 보안 취약점을 가지고 있었다는 분석이 2025년 Silicon Valley Cybersecurity Conference (SVCC)에서 발표되었습니다.
2025년 3월, GitGuardian은 Copilot을 사용한 리포지토리에서 비밀정보 노출 비율이 6.4%로, 일반 오픈소스(4.6%)보다 훨씬 높다고 지적했습니다.
2025년 8월, Veracode 2025 GenAI Code Security Report에 따르면, 대형 언어모델을 활용한 100여 개 코드 생성 도구를 분석한 결과 전체 테스트의 45%에서 보안 취약점이 포함된 코드가 생성되었습니다. 특히 Java 코드에서 취약점 비율이 높았고, 대표적으로 XSS(13.5%)와 로그 인젝션(12%) 같은 심각한 보안 약점이 자주 등장했습니다.
2025년 9월, Apiiro 분석에 따르면, AI 코드 도입 이후 2024년 말 대비 2025년 중반까지 신규 보안 결함 건수가 10배 이상 폭증했으며, 매달 1만 건 이상의 새로운 취약점이 보고되었습니다. 특히 권한 상승 경로는 322%, 아키텍처 설계 결함은 153% 증가해 AI가 양산하는 코드 속에서 구조적 보안 문제가 빠르게 불어나고 있음을 확인할 수 있습니다.
결국 AI 코드 어시스턴트가 생산성을 높이는 동시에, 기업 보안 리스크를 기하급수적으로 키우고 있다는 경고 신호입니다. 다시말해 ““인공지능 창업자””들이 외치는 생산성 향상과 코딩의 민주화라는 바이브 코딩의 화려한 모습 뒤에는, 사이버보안의 재앙이라는 그림자도 동시에 그만큼 생상성이 향상되고 민주화되어 우리의 프로덕트 생태계에 겉잡을수 없이 퍼져나가고 있다는 겁니다.
인공지능덕분에 강해지는 창
그런데 더 큰 문제는, 방패는 약해져가는데 오히려 해커들은 더 강한 무기를 손에 쥐게 되었다는 사실입니다. 생성형 AI는 개발자와 스타트업에게 속도와 생산성을 주었지만, 동시에 해커들에게도 똑같은 혜택을 주는 도구인 것이죠. 과거에는 기술 역량이 부족해 공격을 제대로 설계하지 못하던 해커들도, 이제는 ChatGPT 같은 대형 언어모델을 통해 자연스럽고 정교한 코드, 그리고 자동화된 공격 시나리오를 손쉽게 만들어낼 수 있습니다. AI는 공격자들에게 있어 더 이상 “보조 수단”이 아니라, 해킹 자체를 바꿔놓는 핵심 무기가 된 것입니다.
실제로 IBM 연구팀은 실제 피싱 실험을 통해 충격적인 결과를 내놓았습니다. AI가 작성한 피싱 이메일의 클릭률은 11%, 나이지리아 왕자가 (인간이) 손수 작성한 피싱 메일의 클릭률은 14%로 사실상 차이가 없었습니다. 즉, 사람의 언어 감각과 맞먹는 설득력 있는 피싱 메일을 인공지능이 자동으로 생산할 수 있다는 겁니다. 특히 차이는 제작 속도에서 극명하게 드러났습니다. 인간이 평균 16시간을 들여 작성해야 했던 공격 메일을 AI는 단 5분 만에 완성했습니다. 이로써 해커들은 더 많은 공격을 더 빠른시간에 해낼수 있게 된 것 입니다.
더 충격적인 데이터는 2025년 Palo Alto Networks 산하 Unit 42 연구팀에서 나왔습니다. 이들은 자율형 공격 AI(Agentic AI)를 개발해 모의실험을 진행했는데, 결과는 상상을 초월했습니다. AI 에이전트는 단 25분 만에 침투부터 권한 상승, 데이터 탈취까지 모든 과정을 스스로 완료했습니다. 과거 평균 9일이나 걸리던 데이터 유출 사이클이 이제는 몇 시간도 채 걸리지 않는 현실로 바뀐 것입니다. 실제 보고서에 따르면, 2021년 당시 평균 침해 탐지·대응 시간은 200시간 이상이었으나, 2024년에는 공격자가 원하는 데이터를 빼내는 데 걸리는 시간이 단 몇 시간 수준으로 단축되었습니다. 이처럼 빠른 속도로 다양한 공격을 할수있게 되면서 적어도 현재까지는 공격자들에게 유리한, 방어자가 따라잡을 수 없는 수준의 격차로 여겨집니다.
그리고 더 싸져버린 창의 비용
이처럼 AI는 단순히 공격의 질만 높이는 게 아닙니다. 해커들이 직면했던 경제학적 장벽 자체를 무너뜨렸습니다. 과거에는 제한된 인력과 시간을 고려해 대기업이나 금융기관 같은 “큰 물고기”만 노릴 수 있었습니다. 해킹을 해서 벌수있는 돈이 충분히 큰 대기업, 즉 ROI가 맞아야 움직였던 것이죠.
하지만 이제는 상황이 달라졌습니다. AI 덕분에 공격은 거의 제로 비용으로 복제되고, 동시에 병렬 실행됩니다. 자동화된 피싱 캠페인, 무차별적인 악성코드 배포, 심지어 맞춤형 사회공학 공격까지 – 모든 것이 더 이상 사람의 노동이 아니라 복제 가능한 AI 리소스에 의해 돌아가고 있습니다. ROI의 공식은 뒤바뀌었고, 싸고 빠른 공격은 이제 대기업뿐만아니라 중소기업을 포함한 모든 기업을 동시에 타겟으로 만들어버렸습니다.
여기서 더 큰 문제는 대기업이 아닌 스타트업을 포함한 작은 회사들은 오히려 사이버 보안에 대한 대비가 미약하다는 부분입니다. 작은 기업들은 애초에 해커들이 타겟하기에는 시간 대비 수익이 낮았기때문에 특별히 보안에 신경을 쓰지않고, 스타트업들은 비슷한 이유로 보안이 얇고, 요즘은 특히 바이브코딩으로 빠르게 코드를 쌓아 올리면서 해커들이 보기에 완벽한 먹잇감으로 전락했기에, 이들이 해킹당하는건 단지 시간의 문제(when)이지 당할지말지의 문제(if)가 아닌 상황입니다.
최근 실제 사례들은 스타트업들이 바이브코딩에 의존할수록 해킹 위험에 취약해진다는 점을 잘 보여줍니다. 예를 들어 WIRED는 RunSybil이라는 AI 공격 에이전트가 Claude Code 기반으로 만들어진 한 웹사이트를 불과 10분 만에 해킹했다고 보도했습니다. 또 유럽에서 가장 빠르게 성장한 바이브코딩 스타트업으로 불린 Lovable은 고객이 자연어로 앱을 만들 수 있는 혁신으로 주목받았지만, 실제로는 수개월간 심각한 보안 취약점을 방치하다 경쟁사 제보로 드러났습니다. 더 나아가 “1인 창업”으로 인기를 끌었던 AI 기반 플랫폼 Base44에서는 인증 우회 취약점이 발견되어 악의적인 사용자가 기업용 앱에 접근할 수 있었는데, 이는 Wiz 연구팀이 지적한 후에야 긴급 패치가 되었습니다.
이처럼 스타트업들이 빠른 속도와 생산성만 좇아 바이브코딩을 도입하면, 보안은 뒷전으로 밀려나기 일수이고 결과적으로 지금 우리 앞에는 사이버보안 위기의 퍼펙트 스톰을 위한 재료들이, 그 재앙의 장작들이 차곡차곡 쌓여가고 있다고 생각합니다.
방패들은 무얼 해야할까?
그렇다면 우리는 어떻게 방패를 다시 강화할 수 있을까요? 첫째, 새로운 인프라가 필요합니다. 단순히 코드를 빨리 만드는 게 아니라, 이 코드가 어디서 왔는지, AI가 생성한 것인지, 그리고 어떤 취약점이 숨어 있는지를 실시간으로 점검할 수 있는 도구 — 예컨대 VibeCheck Cyber 같은 툴이 절실합니다. 무조건 빠르다고 좋은게 아니라, 생산성과 속도만큼이나 검증 체계가 뒷받침되어야 합니다.
둘째, 바이브코딩을 맹신하지 말아야 합니다. 코드 자동화는 강력한 도구지만, 그것만으로는 완전한 해답이 아닙니다. 결국 중요한 건 전체적인 프로그램 원리와 보안의 근본을 이해하는 사람들과 함께 일하는 것입니다. 코드 품질, 설계 원칙, 보안 아키텍처에 대한 깊은 이해 없이 AI 코드만 믿고 가는 순간, 스타트업은 해커들의 완벽한 표적이 됩니다. 2025년 8월, 스타트업 tea의 사진과 개인정보 유출 사태와 같이 단 한번의 보안 사고가 그 스타트업을 그 순간 끝내버릴수 있습니다.
그리고 마지막으로, 최후의 안전망인 사이버보험입니다. 미국에서 사이버범죄 피해액은 2024년에 166억 달러로 전년 대비 33% 증가하며 사상 최고치를 찍었습니다. 해킹을 당한 기업들중 보험이 없던 중소기업의 60%가 6개월 내 폐업으로 이어졌지만, 보험에 가입한 기업들은 랜섬머니 지급, 법적 합의금, 영업 손실을 상당 부분 보전받으며 살아남을 수 있었습니다. 이제 사이버보험은 선택이 아니라 생존을 위한 인프라입니다.
그래서 어쩌라고
질병과 치료는 영원한 창과 방패의 싸움이라고 생각합니다. 우리가 많은 질병들을 정복하고 있지만 여전히 정복하지 못하는 질병들이 존재하고 또 계속해서 코비드같은 새로운 질병들이 생겨나고 있으니까요. 그렇기때문에 우리는 의료보험을 듭니다.
자동차와 사고는 약간 결이 다르지만 비슷한 창과 방패의 싸움이라고 생각합니다. 각종 안전장치로 사고율을 줄여보려고 하지만 아직은 자동차 사고를 완벽히 없앨수는 없습니다. 그렇기때문에 우리는 자동차 보험을 듭니다.
사이버 보안도 다르지 않습니다.
인공지능은 해커의 창을 계속해서 날카롭게 만들고, 바이브코딩은 우리의 방패를 얇게 만들지만, 사이버보안 솔루션들은 우리의 방패를 계속해서 두껍게 만들어줍니다. 결국 사이버보안 또한 끝없는 창과 방패의 싸움입니다
따라서 최근 인공지능과 관련한 해킹 방법의 발전과 바이브 코딩등 새로운 문제점의 등장으로 볼때, 저는 자동차 보험처럼, 의료보험처럼, 사이버보험 역시 기업의 생존을 위한 필수 인프라가 될 때가 그리 머지 않았다고 생각합니다. 그리고 현명한 창업가나 투자자라면 트렌드를 기억해두는게 좋겠다고 생각해서 평소 제 생각을 오늘 뉴스레터로 정리해 보았습니다.
사실 저는 이 thesis를 ChatGPT가 등장하자마자 생각했었는데 (해킹이 쉬워지고 싸짐 = 사이버보안 나이트메어), 관련해서 제가 2023년 재미있게 본 회사는 미국의 Resilience라는 회사가 있는데, Peter Thiel의 Founders Fund, Lightspeed, General Catalyst, CRV, 그리고 캐나다의 대형 보험사인 Intact에서 공동 투자한 회사입니다. 2년이 지나 2025년이 된 지금, 회사의 구체적인 상황은 모르겠지만, 이 회사가 그때보다 지금 더욱 마켓 트렌드에 딱 맞다는 생각이 드네요.
보통 저는 이런식으로 인바운드보다 아웃바운드 위주로 딜소싱을 하는 편인데, 전반적인 테크 트렌드를 보면서 thesis에 대한 영감을 얻고, 그 thesis에 기반한 미래를 상상하면서, 그 미래 세상에 필요한 회사들을 찾는데 집중하고 있습니다. 예를 들면 아래 적었던 Note taking app를 보고 떠오른 Personal CRM도 비슷한 맥락인데, 앞으로도 이렇게 떠오르는 스타트업 아이디어들을 뉴스레터들에 좀 더 녹여서 보낼 예정입니다.
제가 상상하는 미래에 맞는 스타트업을 만들고 계신 창업자분들은 언제든지 편하게 ian@ianpark.vc로 편하게 이메일 주세요! 오늘도 읽어주셔서 감사합니다.
이안 드림
건강 잘 챙기시고 얼른 쾌차하시길 바랍니다🙏🏻