# 바이브 코딩으로 만든 환자 관리 앱의 보안 참사 > Clean Markdown view of GeekNews topic #28541. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28541](https://news.hada.io/topic?id=28541) - GeekNews Markdown: [https://news.hada.io/topic/28541.md](https://news.hada.io/topic/28541.md) - Type: GN+ - Author: [xguru](https://news.hada.io/@xguru) - Published: 2026-04-15T11:40:55+09:00 - Updated: 2026-04-15T11:40:55+09:00 - Original source: [tobru.ch](https://www.tobru.ch/an-ai-vibe-coding-horror-story/) - Points: 20 - Comments: 11 ## Summary 의료기관 직원이 AI 코딩 에이전트로 환자 관리 시스템을 직접 만들었는데, 결과물이 **접근 제어 없는 단일 HTML 파일**이라 환자 데이터가 암호화 없이 인터넷에 그대로 노출된 사례입니다. 진료 대화 녹음까지 미국 AI 서비스로 전송되고 있었고, 작성자가 **30분 만에 전체 데이터에 읽기·쓰기 권한을 확보**했다고 합니다. 실제로 비일비재하게 일어나고 있어서, 주의가 필요합니다. ## Topic Body - 의료기관 직원이 **AI 코딩 에이전트**로 환자 관리 시스템을 직접 제작하며, 환자 데이터가 인터넷에 **암호화 없이 노출**됨 - 진료 대화 녹음이 두 개의 **AI 서비스**로 전송되어 자동 요약되었고, 모든 데이터에 **읽기·쓰기 권한**이 열려 있었음 - 데이터는 미국 서버에 저장되었으며 **데이터 처리 계약(DPA)** 없이 운영되고, 환자에게 사전 고지도 이루어지지 않음 - 이러한 행위는 스위스의 **nDSG 데이터 보호법**과 **직업상 비밀 유지 의무**를 위반할 가능성이 있음 - 작성자는 “AI 코딩이 단순한 **vibe** 수준에 머물면 **안전하지 않은 미래**로 이어진다”고 경고함 --- ### AI로 만든 환자 관리 앱의 보안 참사 - 의료기관 직원이 **AI 코딩 에이전트**를 이용해 환자 관리 시스템을 직접 제작한 사례 - 기존 환자 데이터를 모두 가져와 인터넷에 공개 배포 - 진료 중 대화 녹음 기능을 추가하고, 두 개의 **AI 서비스**로 전송해 자동 요약 기능 구현 - 결과적으로 모든 환자 데이터가 **암호화 없이 인터넷에 노출**된 상태였음 - 작성자는 30분 만에 전체 데이터에 **읽기·쓰기 권한**을 확보 - 문제를 보고했으나, 돌아온 답변은 **AI가 자동 생성한 감사 메시지**였음 - 데이터는 미국 서버에 저장되어 있었고, **데이터 처리 계약(DPA)** 없이 운영 - 음성 녹음 파일도 미국 기반 AI 기업으로 전송 - 환자에게 이러한 데이터 처리 사실은 **사전 고지되지 않음** - 이 행위는 스위스의 **nDSG(데이터 보호법)** 및 **직업상 비밀 유지 의무(Berufsgeheimnis)** 위반 가능성이 있음 - 법률 전문가는 아니지만, 다수의 조항이 위반된 것으로 판단 - “AI 코딩이 단순한 ‘분위기(vibe)’ 수준으로 남을 경우, **안전하지 않은 미래**로 이어질 것”이라는 경고 제시 ### 기술적 배경 - 애플리케이션은 **단일 HTML 파일**로 구성 - 모든 **JavaScript, CSS, 구조 코드가 인라인**으로 포함 - 백엔드는 **접근 제어가 전혀 없는 관리형 데이터베이스 서비스** 사용 - 접근 제어 로직이 **클라이언트 측 JavaScript**에만 존재 - 단 한 줄의 `curl` 명령으로도 데이터 접근 가능 - 모든 **음성 녹음 파일**은 외부 AI API로 직접 전송되어 **전사 및 요약 처리** - 이 정도만으로도 **심각한 보안 부실**이 명확함 ### 전망 - AI 코딩 도구를 사용할 때는 **코드 구조와 아키텍처를 이해할 수 있는 능력**이 필수 - 단순히 “AI로 코딩 분위기를 즐기는(vibing)” 수준의 접근은 **위험한 결과**를 초래함 - AI 개발 도구 확산 속에서 **기본적인 보안 인식과 기술 이해**가 반드시 필요함 ## Comments ### Comment 55374 - Author: xguru - Created: 2026-04-15T11:51:34+09:00 - Points: 2 뭐 이미.. 깃헙에서 OPENAI_API_KEY 검색해봐도 막 걸리는게 많다는.. ### Comment 55434 - Author: tangokorea - Created: 2026-04-15T15:02:54+09:00 - Points: 1 - Parent comment: 55374 - Depth: 1 이러다가 바이브 코딩 자격증 따야 할 수 있는 시대가 올지도.. ### Comment 55558 - Author: claudemd - Created: 2026-04-16T10:47:08+09:00 - Points: 1 AI를 통해 좋문가 인척하는 사람들이 많아지고 그들이 입을 털기 시작하면서 너무 어지러운 세상이 되었습니다 ... ### Comment 55497 - Author: click - Created: 2026-04-15T18:58:54+09:00 - Points: 1 한국에서도 정보보호법 및 의료법 제21조 2항에 따라서 의료기관 종사자는 예외적 사유에 해당하지 않는 상황에서 환자의 기록을 타인에게 열람하게 하면 안되도록 규정되어있습니다. https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%9D%98%EB%A3%8C%EB%B2%95/%EC%A0%9C21%EC%A1%B0 한국의 낙후된 정보보호 환경덕분에 다들 망분리를 신봉하기 때문에 운 좋게도 대형 병원에서 이런 사고들이 잘 발생하지 않는 듯 하네요. 환자의 기록을 열람하는 환경이 내부망이라서 보안에 무지한 사용자가 상용 AI 서비스를 직접 붙이기 어렵거든요. 진료용 컴퓨터를 인터넷 망에 곧바로 연결하는 1차 의원급에서 무슨 일이 벌어지는 모르겠습니다 ㅎ ### Comment 55471 - Author: antegral - Created: 2026-04-15T16:48:12+09:00 - Points: 1 PHI는 항상 조심... 또 조심... ### Comment 55452 - Author: parkindani - Created: 2026-04-15T15:57:36+09:00 - Points: 1 저도 친구에게 클로드 코드 알려줬더니 한 이주일 뒤에 나 뭐 만들었어!! 했는데 똑같은 상황이 발생해 있었습니다. ### Comment 55384 - Author: kiga183 - Created: 2026-04-15T13:03:59+09:00 - Points: 1 보안 취약점 발견하는 기술도 획기적 발전이 있었다는데 그 취약점을 발견했다는 것은 보안할 방법까지 필요성이 생긴 것이니까 보안 방법도 보완 될 것으로 보입니다. ### Comment 55417 - Author: woung717 - Created: 2026-04-15T14:26:08+09:00 - Points: 2 - Parent comment: 55384 - Depth: 1 일단 비전문가들은 그런것들이 있는지도, 왜 필요한지도 모를거에요. ### Comment 55546 - Author: carnoxen - Created: 2026-04-16T09:41:08+09:00 - Points: 1 - Parent comment: 55417 - Depth: 2 그럴 수록 컴퓨터 과학을 배워야 하는 경각심이 드는군요 ### Comment 55428 - Author: ryj0902 - Created: 2026-04-15T14:46:34+09:00 - Points: 1 - Parent comment: 55417 - Depth: 2 정말 핵심을 찌른 표현이라고 봅니다 ### Comment 55369 - Author: neo - Created: 2026-04-15T11:40:56+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47762901) - 스페인에서 비슷한 일을 겪은 적이 있음. 의료 쪽은 아니고 작은 보험회사였는데, 믿기 어렵겠지만 그들도 **vibe-coding**으로 CRM을 만들었음 내가 이메일로 문제를 알리자 소송하겠다고 협박함. 어이없었지만, 결국 **AEPD(스페인 데이터 보호청)** 에 신고를 넣었음. 이 기관은 꽤 강력하기로 유명함 지난 금요일에는 내 개인정보 삭제를 요구하는 **burofax**도 보냈음 - 예전에 Wi-Fi가 막 보급될 때 비슷한 일을 겪었음. 열린 네트워크에 접속했는데, 알고 보니 로펌이었음. 모든 컴퓨터가 Samba로 연결돼 있었고 C: 드라이브 전체가 공유돼 있었음 README.txt로 문제를 알려줬지만 아무 변화가 없었음. 직접 찾아가서 고쳐주고 첫 직장으로 삼아볼까 했는데, 오히려 그들이 화를 냈음. 자신들은 이미 비싼 외주업체를 쓰고 있다며 내가 침입했다고 주장했음. 결국 바로 나왔음 - AEPD가 그렇게 강력하다니 부럽다는 생각이 듦. 다른 나라들도 이런 기관이 있었으면 좋겠음 - 진행 상황을 이 스레드에서 계속 업데이트해줬으면 함 - 개인은 한 번 데이면 배우지만, **기업은 절대 배우지 않음** - 이런 앱을 만드는 사람들은 **데이터 프라이버시 규정**을 전혀 모르는 경우가 많음 내가 있는 소상공인 포럼에서도 한 사람이 AI로 직접 앱을 만들었다며 자랑했음. 하지만 법적 책임을 전혀 몰랐고, Reddit에서 개발자들이 “진짜 개발자를 고용하라”고 하자 화를 냈음. 그는 이제 개발자는 **멸종 직전의 종**이라고 믿음 - LinkedIn에서는 기술을 모르는 **세일즈맨들**이 AI가 모든 문제의 해답이라며 떠들고 있음 이런 분위기 속에서 언젠가 정말 큰 사고가 날 것 같은 불안함이 있음 - “코딩계의 **힌덴부르크**” 같다는 말이 나올 정도임 - 이미 나쁜 일들이 벌어지고 있고, 다음 세대 모델이 이 상황을 어떻게 바꿀지 지켜볼 필요가 있음 - **vibe-coding**은 멋지지만 한계가 빠르게 드러남 수천 줄을 넘기면 구조가 무너지고, 실제 시스템은 훨씬 복잡함. 결국엔 **소프트웨어 공학의 기본기**가 필요함 프로토타입이나 내부 도구에는 괜찮지만, 실제 프로덕션에는 위험함. 나는 이런 시스템에 내 데이터를 맡기고 싶지 않음 - 여러 **메모리 관리 트릭**과 코드 인덱싱 도구가 있지만, 결국 중요한 건 **Jira** 같은 성숙한 관리 도구였음 나는 Jira Rovo MCP를 이용해 Claude Code로 설계와 문서를 만들고, 수동으로 검토한 뒤 새 세션에서 구현함 LLM은 컨텍스트가 많아질수록 멍청해지므로, [context status bar 설정](https://code.claude.com/docs/en/statusline)을 꼭 쓰는 게 좋음 - 실제로 이런 접근은 자주 무너짐. 오히려 **기술 부채**를 인식하지 못한 채 코드 변경을 수용하기 때문에 더 나쁜 결과를 초래함 나는 로컬에서 Gemma 4를 테스트했는데, 느리지만 클라우드 모델만큼 강력했음. 데이터가 외부로 나가지 않는 점이 장점임 - **Claude Code**로 직접 앱을 만들어보면 기본기를 몰라도 작동함을 알 수 있음. 2만 줄 정도까지는 괜찮았음. 다만 피드백을 줄 사람은 필요함 - 몇 달 전 외과의사가 만든 **vibe-coded 웹앱**을 봤음 작동은 했지만, 루트 디렉토리에 **index.html이 없고**, 백업 파일에 DB 연결 정보와 AWS 키가 그대로 들어 있었음 단순히 빈 index.html을 추가하면 해결됐지만, 개발자도 AI도 그 이유를 몰랐음 앱 자체는 인상적이었지만, 기본적인 **보안 실수**가 너무 많았음. 경험 있는 DevOps가 한 번만 봐줬어도 충분했을 일임 - 흥미로운 점은 AI가 어려운 부분(비밀번호 해시, 스키마 설계)은 잘했는데, **운영 감각**이 필요한 부분에서 실수했다는 것임 결국 AI는 “묻지 않은 것”은 모름. 경험 많은 개발자는 과거의 실패를 기억하지만, vibe-coder는 **프롬프트**만 가짐 - 진짜 해결책은 단순히 인덱싱을 끄는 게 아니라, **서버가 자격 증명 파일에 접근하지 않게 하는 구조**를 만드는 것임 - 이런 문제를 막으려면 **Agent-Native DevOps 도구**가 필요함. 배포와 결제를 자동화하는 표준이 마련돼야 함 - “모든 접근 제어 로직이 클라이언트 JavaScript에 있었다”는 건 정말 최악임 이런 건 **비전문가가 AI를 무분별하게 쓴 전형적인 사례**임. AI를 실무에 쓸 때는 반드시 책임과 리스크를 인식해야 함 - Claude나 opencode 같은 도구는 사실상 **brute-force 코딩 하네스**임 제대로 된 워크플로 제어와 결과 검증이 없으면 이런 문제는 계속 생김. 지금은 LLM의 **야생 서부 시대**임 - 문제는 AI가 아니라, **지능적인 인간의 부재**임. 예전에도 프론트엔드가 백엔드에 SQL 쿼리를 직접 지시하는 의료회사를 본 적 있음 - 소프트웨어 공학도 이제는 **전문 자격 제도**가 필요하다고 생각함 다리나 건물을 설계하려면 인증이 필요하듯, 중요한 시스템을 만드는 개발자도 일정한 기준이 있어야 함 - 하지만 이런 기관은 종종 **게이트키퍼** 역할만 함. 이미 법과 인증 체계가 있으니, 집행이 문제임 - 개인정보 처리 등 관련 법은 이미 많음. 다만 인식이 부족함. 조만간 **고위급 처벌 사례**가 나올 것 같음 - 나도 규제 찬성임. 소프트웨어는 진지한 분야이고, 지금의 **AI 열풍**은 멈춰야 함 - 문제는 자격이 아니라 **무지**임. 의료 데이터 관리조차 모르는 사람이 시스템을 만들고 있었음 결국 시간이 지나면 AI와 프라이버시에 대한 이해가 자리 잡을 것이라 봄 - 사실 대부분의 나라에 이미 법과 표준이 있음. 이 사례는 그걸 완전히 무시한 경우임 - 이 글이 너무 **모호해서 허구처럼** 느껴짐 - 작성자를 아는데, 거짓말할 사람은 아님. 구체적 정보를 숨긴 건 합리적임 - 회사 이름을 공개하지 않은 건 윤리적으로 맞음. 확인 전엔 위험함 - 혹시 **AI가 만든 클릭베이트**일 수도 있겠다는 농담도 나옴 - 다만 내용이 실제 AI가 만든 코드와는 다름. 구조나 보안 실수의 형태가 **초보자 코드**에 더 가까움. 증거가 더 필요함 - 사실 확인이 불가능한 수준에서 **그럴듯하게 꾸며진 이야기** 같음 - 만약 AI가 **구현을 숨기도록 학습**된다면, 즉 클라이언트를 얇게 만들고 OAuth 인증을 쓰는 식이라면 더 나을까? 이런 단순한 실수는 충분히 방지 가능함. 하지만 목표는 여전히 **개발자 대체**임 더 나쁜 건, 사람들이 “어려운 걸 배우는 건 비효율적”이라 믿기 시작했다는 점임 나는 **암호학** 분야에 있는데, 학생들 중 일부는 보안 기술이 곧 AI에 의해 사라질 거라 생각함. 그래서 단순한 웹 인증 구현을 시켜보며 현실을 보여줌 - 내가 아는 한 회계법인도 **Lovable**로 CRM을 직접 만들고 있음. 기술 인력이 전혀 없음 앞으로 벌어질 **재앙**이 눈에 보임 - CRM은 신뢰성이 핵심인데, 왜 굳이 직접 만들려는지 이해가 안 됨 - 다른 고위험 산업은 모두 **이중 검증 체계**를 갖췄음. 조종사에 부조종사, 외과의에 체크리스트, 원전엔 독립 검증이 있음 하지만 소프트웨어는 예외였고, vibe-coding은 그나마 있던 **이해 기반의 검증**마저 없앰 - 코드 리뷰가 있긴 하지만, 대부분 **형식적**임. 예전의 QA 단계가 더 나았지만, 비용과 속도 때문에 사라졌음