- 보안 문제
- 미국 사이버 보안 기업 Snyk, 소프트웨어 엔지니어링과 보안 팀원, 리더 537명 대상으로 설문 조사
- 응답자 91.6%, “AI 코딩 도구가 안전하지 않은 코드 제안을 가끔 생성했다”
- 응답자 80%, “조직 내 개발자들이 AI 보안 정책을 우회한다”
- 응답자 25%, “AI 코딩 제안에 포함된 오픈 소스 구성요소의 보안을 확인하기 위해 자동화된 스캐닝 도구를 사용한다”
- 오픈 소스 라이브러리가 안전한지 보장하고자 적절한 조치 취하려는 이 적음
- Snyk에 따르면, GitHub의 Copilot은 기존 코드 리포지터리에서 패턴과 구조 학습해 코드 스니펫 생성
- 이때 코드는 인접 파일에 있는 기존 보안 취약점이나 잘못된 관행 복제할 수 있음
- 자동화된 보안 검사, 코드 감사로 보안 위험 있는 코드 찾고, 코드 생성 AI 도구 안전성 검토 필요
- 코드 품질 문제
- 미국 옵저버빌리티 기업 Dynatrace 창업자이자 CTO인 Bernd Greifeneder 지적
- AI는 지금까지 Stack Overflow 같은 사이트에서 사람이 큐레이팅한 좋은 소스로 학습
- 앞으로 개발자들이 AI로 생성한 코드를 더 많이 사용하면 이러한 사이트를 업데이트할 동기 약화 가능성
- 개발자가 코드 스니펫 복사하고 붙여 넣어 배포 속도를 높이는 건 좋지 않은 관행으로 인식
- 이는 유지보수성을 저하하고, 오류나 취약점이 복제되거나 간과될 위험 키움
- 코드 생성 AI 도구는 복사/붙여넣기 프로세스를 높은 속도로 자동화
- 조직은 AI가 생성한 코드 면밀히 분석, 테스트, 품질과 보안 표준 준수하는 개발 관행 강화 필요
- AI 생성 코드에 ‘클린 코드’ 원칙 적용
- AI로 생성한 코드에 클린 코드가 최종 구현되도록 테스트와 분석 수행해 코드 품질 보장 필요
- 저작권 문제
- Copilot과 같은 도구는 입력 코드 리팩토링해 코드 만듦
- 이러한 도구는 AI 모델 학습에 사용된 학습 데이터와 학습된 모델이 생성한 출력 코드에서 비롯된 저작권, 오픈 소스 라이선스 문제에 직면 가능성
- 글로벌 로펌 Finnegan 분석:
- 코드 생성 AI 도구는 기본 AI 모델 학습에 사용하는 코드의 사본 추천
- GitHub도 ‘Copilot이 생성한 코드가 학습된, 공개적으로 사용할 수 있는 오픈 소스 코드를 인용할 때가 있다’고 인정
- GitHub 내부 조사에 따르면, 확률은 1%로 지극히 낮지만 Copilot이 학습 코드와 정확히 일치하는 일부 코드 블록 포함하는 코드 생성할 수 있음
- 오픈 소스 코드의 라이선스는 Copilot 사용해 개발한 코드에 적용될 수도 있음
- 오픈 소스 라이선스가 적용된 코드를 코드 생성 AI 도구로 만든 코드로 반복 사용하면, 해당 코드의 사용이 저작자 표시, 배포와 같은 오픈 소스 라이선스 조건 따르지 않을 때 저작권 위반 될 수 있음
- 코드 생성 AI 도구로 제안한 코드의 추적성이 부족해 ‘생성된 코드에 원래 오픈 소스 라이선스 조건에 위배될 수 있는 반복 코드가 포함됐는지’ 바로 알 수 있는 방법은 없음
- AI로 생성한 코드 수동 검토해 알려진 인기 코드 확인 필요
- 코드 스캐닝 도구 사용해 오픈 소스 라이선스가 적용된 코드 점검 필요