[디지털투데이 황치규 기자]기업 가치 66억달러에 달하는 바이브 코딩 플랫폼 러버블(Lovable)이 무료 계정으로 다른 사용자 소스코드, 데이터베이스 자격증명, AI 채팅 내역에 접근할 수 있는 보안 취약점이 있다는 연구자 주장이 제기되면서 논란에 휩싸였다고 더레지스터가 20일(현지시간) 보도했다.

X(트위터)에서 @weezerOSINT란 아디이로 활동하는 연구자는 "무료 계정을 만들어 API를 5번 호출하는 것만으로 다른 사용자 프로필, 공개 프로젝트, 소스코드에 접근했으며 소스코드에서 데이터베이스 자격증명까지 추출했다"고 밝혔다. 이 취약점은 객체 수준 인가 오류(BOLA)로 API가 소유권 검증 없이 다른 사용자 데이터를 노출한다.

연구자는 48일 전에 결함을 신고했으나 러버블이 '중복 제출'로 처리하고 방치했다고 주장했다. 그는 이후 버그 바운티 서비스 해커원(HackerOne)에도 신고했다.

더레지스터에 따르면 이와 관련한 러버블 해명은 계속 바뀌고 있다. 처음에는 "데이터 침해는 없었다"며 공개 프로젝트 채팅 노출을 "의도된 설계"라고 주장했다. 이후 "문서화가 불명확했다"고 입장을 바꿨다가 나중에는 해커원이 공개 프로젝트 채팅 열람을 의도된 동작으로 판단해 신고를 에스컬레이션하지 않았다며 책임을 넘겼다. 해커원이 이번 문제를 보안 문제로 판단하지 않아 러버블 개발팀에 긴급 수정을 요청하지 않았다는 얘기다.

러버블은 이후 공식 입장에서 경위를 설명했다. 2025년 12월 모든 등급에서 기본값을 비공개로 전환했으나 2026년 2월 백엔드 권한 통합 작업 중 실수로 공개 프로젝트 채팅 접근이 다시 활성화됐다는 것이다. 

러버블은 "해커원 파트너들이 공개 프로젝트 채팅 열람을 의도된 동작으로 판단해 에스컬레이션 없이 신고를 종결했다"면서 문제를 발견한 직후 변경 사항을 되돌려 모든 공개 프로젝트 채팅을 다시 비공개로 전환했다고 밝혔다.
 

• 테슬라 잡으러 왔다…벤츠 전기 C클래스, 끝판왕 스펙 공개
• 찰스 호스킨슨 "XRP, 테더와 다를 바 없다…수익은 리플, 리스크는 투자자 몫"
• 위메이드, '비댁스'와 스테이블코인 결제 표준 모델 구축 '맞손'
• 블랙록 IBIT에만 9억달러 몰렸다…비트코인 현물 ETF, 기관 유입세 지속
• 하나금융, 금감원과 청년 금융인재 양성 프로젝트 가동