"이거 Claude한테 시켰더니 Stripe 연동 코드 금방 뽑아줬어요!" — 팀에서 AI 코딩 어시스턴트를 도입하고 나면 이런 말이 일상이 됩니다. 문제는, 그 코드 안에 sk_live_4eC39HqLyjWDarjtT1zdp7dc 같은 프로덕션 API 키가 그대로 박혀 있을 수 있다는 겁니다. AI는 빠르게 코드를 씁니다. 그리고 똑같이 빠르게 시크릿을 하드코딩합니다.
수치가 먼저입니다
GitGuardian의 State of Secrets Sprawl 2025 보고서는 불편한 현실을 직접적으로 보여줍니다. 2024년 한 해 동안 공개 GitHub에서 2,380만 개의 시크릿이 새로 유출됐습니다. 전년 대비 25% 증가입니다. 더 불안한 건 유출된 시크릿의 70%가 2년이 지난 시점에도 여전히 유효하다는 사실입니다. 누군가 그걸 쓰고 있거나, 아무도 모르고 있거나 — 둘 다 최악입니다.
여기에 AI 코딩 어시스턴트를 얹으면 상황이 악화됩니다. 같은 연구에서 GitHub Copilot이 활성화된 저장소는 그렇지 않은 저장소보다 시크릿 유출률이 40% 높습니다 (6.4% vs 4.6%). Copilot은 8,127개의 코드 제안에서 프롬프트당 평균 3.0개의 유효한 시크릿을 생성했습니다. AI가 훈련 데이터에서 봤던 패턴을 그대로 재현하는 겁니다. 시크릿이 뭔지, 왜 위험한지 AI는 알지 못합니다.
AI 에이전트가 시크릿을 유출하는 다섯 가지 경로
실제로 어떻게 새는지 알아야 막을 수 있습니다.
첫째, 생성 단계의 하드코딩이 가장 흔한 경로입니다. 개발자가 검토하다 못 보고 그냥 커밋합니다. Git 히스토리에 한 번 들어간 시크릿은 파일을 수정해도 영원히 남습니다. 실제로 'Moltbook' 플랫폼은 AI 바이브 코딩으로만 구축됐고, 결과적으로 150만 개의 API 토큰과 35,000개의 사용자 이메일이 공개 인터넷에 노출됐습니다. RedHuntLabs 조사에 따르면 바이브 코딩으로 만든 웹사이트 5개 중 1개는 민감한 시크릿을 노출합니다.
둘째, 컨텍스트 창 노출입니다. 인증 정보가 포함된 코드를 공개 LLM API에 붙여 넣으면, 그 데이터는 이미 내 통제 밖입니다. 제공자의 로그, 캐시, 처리 파이프라인에 남습니다.
셋째, 학습 데이터 기억입니다. Truffle Security가 2024년 12월 Common Crawl 아카이브(2.67억 페이지)를 스캔한 결과, 11,908개의 살아있는 유효 시크릿을 발견했습니다. AWS 키와 MailChimp 크리덴셜이 포함됐고, 63%는 여러 페이지에 반복 등장했습니다. 이 데이터로 학습한 LLM은 자연스럽게 불안전한 패턴을 강화합니다.
넷째이자 가장 최신 위협은 MCP 툴 탈취입니다. Socket 위협 연구팀이 2026년 2월 공개한 'SANDWORM_MODE' 공격은 19개의 악성 npm 패키지가 Claude Code, Cursor, Windsurf 같은 AI 코딩 도구에 악성 MCP 서버를 심는 방식입니다. 패키지 3개는 Claude Code를 직접 사칭했습니다. 1단계는 크리덴셜과 암호화폐 키를 수집하고, 2단계는 48시간 후 SSH 키, AWS 크리덴셜, .env 파일을 탈취합니다. 에이전트는 자신이 감염됐다는 걸 모르고 그냥 툴의 지시를 따릅니다.
다섯째, 프레임워크 레벨 취약점입니다. CVE-2025-68664('LangGrinch', CVSS 9.3)는 LangChain Core의 직렬화 인젝션으로 환경 변수 시크릿을 탈취할 수 있습니다. CVE-2025-3248(Langflow, CVSS 9.8)은 미인증 RCE로 361개 악성 IP가 실제 익스플로잇에 활용했습니다.
MCP 서버, 아무도 잠그지 않았다
AI 에이전트의 인프라 접점인 MCP 서버 보안도 심각합니다. 706개 MCP 서버를 스캔한 독립 보안 감사 결과, 30%가 인증 없이 누구나 접근 가능했고, 47%는 하나 이상의 고위험 취약점을 갖고 있었습니다. 45%는 레이트 리밋조차 없었습니다.
MCP 서버는 AI 어시스턴트에게 데이터베이스, API, 파일 시스템 접근권을 줍니다. MCP 서버 하나가 뚫리면 공격자는 AI를 통해 데이터를 읽고, 레코드를 생성하고, 파일을 삭제하고, 다른 프롬프트를 주입할 수 있습니다. Invariant Labs가 2025년 5월 공개한 GitHub MCP 크리덴셜 탈취 사례에서는, 악성 GitHub 이슈가 AI 에이전트를 조작해 프라이빗 저장소 데이터를 유출시켰습니다. 근본 원인은 간단했습니다. 개발자가 AI 어시스턴트에게 모든 저장소 접근 권한을 가진 Personal Access Token을 줬기 때문입니다.
테크 리드가 지금 당장 해야 할 것들
AI-First 워크플로우를 구축하는 팀이라면 보안 레이어를 처음부터 설계에 포함해야 합니다. 실전에서 바로 적용 가능한 세 가지입니다.
시크릿 매니저를 코딩 컨벤션으로 만드세요. AI가 생성한 코드에서 시크릿이 하드코딩됐는지 리뷰 체크리스트 1번으로 박아야 합니다. HashiCorp Vault, AWS Secrets Manager, Doppler 중 팀 스택에 맞는 걸 골라 온보딩 첫날부터 연동하세요. AI 에이전트에게 프롬프트를 줄 때도 "시크릿은 항상 환경 변수로 참조하라"를 시스템 프롬프트나 .cursorrules에 명시하면 생성 품질이 달라집니다.
공개 LLM API에 크리덴셜이 포함된 코드를 붙여 넣지 마세요. 팀 컨벤션이 아니라 보안 정책으로 못 박아야 합니다. 민감한 코드는 로컬 또는 엔터프라이즈 플랜(데이터 보존 비활성화 옵션 확인)을 통해서만 처리하도록 가이드를 만드세요.
MCP 서버는 최소 권한 원칙으로 설계하세요. AI 에이전트에게 주는 Personal Access Token은 필요한 저장소만 접근 가능하게 스코프를 제한하세요. 외부 MCP 서버를 도입할 때는 인증 방식, 레이트 리밋, 입력 검증 여부를 반드시 확인하세요. "Agentic Platform Engineer"라는 역할 개념처럼, MCP를 단순한 연결 도구가 아니라 거버넌스 레이어로 바라봐야 합니다.
AI-First는 보안-First이기도 합니다
대전시가 공무원 대상으로 바이브 코딩 교육을 시작했고, 3.2대 1의 경쟁률이 나왔습니다. AI 코딩 도구 도입은 이제 개발팀을 넘어 조직 전반으로 확산되고 있습니다. 속도는 올라갑니다. 그리고 시크릿 유출 속도도 같이 올라갑니다.
"AI가 생성해준 걸 기반으로 우리가 다듬는" 협업 모델이 제대로 작동하려면, '다듬는' 과정에 보안 검토가 반드시 포함돼야 합니다. AI는 코드를 빠르게 씁니다. 빠르게 쓴 코드가 빠르게 프로덕션에 배포되기 전에, 시크릿 한 줄이 Git 히스토리에 남지 않았는지 확인하는 것 — 이게 AI-First 팀의 테크 리드가 지금 당장 시스템으로 만들어야 할 습관입니다.