AI 모델, 소프트웨어 의존성 업글 추천 28% 환각…보안 취약점 방치 위험

[디지털투데이 황치규 기자]AI 모델에 소프트웨어 의존성 관련 결정을 맡기는 것은 위험할 수 있다는 연구 결과가 나왔다.

소프트웨어 개발에서 의존성(dependency)은 프로그램이 작동하기 위해 필요한 외부 라이브러리나 패키지를 가져다 쓰는 걸 말한다.

26일(현지시간) 다크리딩에 따르면 데브섹옵스(DevSecOps) 기업 소나타입은 2025년 6월부터 8월까지 메이븐 센트럴, npm, 파이파이(PyPI), 누겟(NuGet) 등 4개 패키지 저장소에서 생성된 의존성 업그레이드 추천 3만6870건을 분석하고 앤트로픽, 오픈AI, 구글 AI 모델 7종이 생성한 추천 총 25만8000건을 검토했다.

소나타입이 올해 2월 발표한 1차 연구에서는 오픈AI GPT-5가 추천한 의존성 업그레이드 중 28% 가까이가 실제 존재하지 않는 버전이나 업그레이드 경로를 제시한 환각으로 확인됐다.

이번 주 공개된 2차 연구에선 소나타입은 추론 능력이 강화된 최신 모델들을 분석했다. GPT-5.2, 앤트로픽 클로드 소넷 3.7·4.5, 클로드 오퍼스 4.6, 구글 제미나이 2.5 프로·3 프로가 대상이다. 이전 모델보다 개선됐지만, 환각과 오류 추천은 여전히 상당수 발생했다.

소나타입은 "이 같은 오류는 AI 비용 낭비, 개발자 시간 낭비, 취약점 방치, 코드가 프로덕션에 도달하기 전 기술 부채를 유발한다"고 지적했다.

문제는 모델 추론 능력이 아니라 실시간 데이터 부재다. 소나타입은 "AI 모델은 안전한 패치 결정을 내리는 데 필요한 실시간 의존성·취약점·호환성·기업 정책 정보가 없다"고 밝혔다. 소나타입 공동창업자 겸 최고기술책임자(CTO) 브라이언 폭스는 "가장 위험한 경우는 모델이 명백히 잘못된 답을 줄 때가 아니라, 그럴듯해 보이지만 위험을 내포하고 더 나은 업그레이드 경로를 놓친 답을 줄 때"라고 말했다.