AI 웹사이트 제작 서비스, 보안상 결함 지적

AI로 웹앱이나 웹사이트를 제작할 수 있는 서비스 러버블(Lovable)로 만든 것 중 다수에 사용자명이나 이메일 주소 같은 중요한 정보가 유출되는 결함이 존재한다는 게 밝혀졌다.

개발자 매트 팔머(Matt Palmer)가 밝힌 건 러버블이 행 레벨 보안(RLS)이라는 기본 보안 설정을 구현하지 못하는 경우가 있다는 취약성이었다. 이로 인해 러버블로 구축한 앱에서 기밀성이 높은 사용자 데이터가 유출되고 공격자가 악의적인 데이터를 앱에 삽입할 가능성이 있다고 한다.

그가 처음 이 취약성을 발견한 건 링커블(Linkable)이라는 사이트다. 링커블은 러버블로 구축된 사이트로 2달러를 지불하고 자신의 링크드인 프로필 URL을 입력하면 자신의 웹사이트를 제작할 수 있다는 서비스였다. 팔머에 따르면 러버블 설계에 실수가 있어 웹사이트 데이터베이스 구축에 이용하고 있던 수파베이스(Supabase)라는 외부 서비스를 제대로 제어하지 못해 링커블을 이용한 500명분 이메일 주소가 누구나 열람할 수 있는 상태에 있었다고 한다.

링커블에서 취약성을 발견한 그는 러버블을 이용해 제작된 1,645개 웹앱을 스캔해 추가 조사를 실시했다. 그 결과 170개에서 같은 문제가 발견되어 사용자명, 이메일 주소, 재무정보, API키 등이 유출되고 있다는 게 판명됐다고 한다.

러버블에 문제를 신고하자 러버블 측은 대책을 강구했다고 발표했지만 코드 정확성이나 로직과의 정합성을 확인하는 근본적인 대책이 아니었기 때문에 5월 29일 시점에서도 실질적인 해결에는 이르지 못했다고 한다. 팔머는 시스템 전체 데이터 유출을 방지하기 위해 사용자에게 통지하고 신속한 조치를 강구하도록 요구한다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

모든 기사 보기