AI 생성 코드, ‘아키텍처 판단’ 빠진 채 기술 부채 키운다…보고서 경고

[서울=뉴스닻] 최승림 기자 = 개발 현장에서 코드 작성의 상당 부분을 AI에 맡기는 흐름이 빨라지는 가운데, AI가 만들어낸 코드가 “잘 돌아가긴 하지만 구조·보안 측면에서는 체계적으로 부실하다”는 분석이 나왔다. 단기 생산성은 높지만 장기적으로는 기술 부채(technical debt)를 폭발적으로 키울 수 있다는 경고다.

애플리케이션 보안 업체 Ox 시큐리티는 최근 발표한 보고서 ‘Army of Juniors: The AI Code Security Crisis’에서, AI가 생성한 코드를 “아키텍처와 보안을 고려하지 않는 주니어 개발자 군단에 가깝다”고 규정했다.
이들은 300개의 오픈소스 프로젝트를 분석했으며, 이 가운데 전부 혹은 일부가 AI로 작성된 50개 프로젝트를 따로 추려 구조·보안 품질을 평가했다. 그 결과, AI 생성 코드에는 특정 아키텍처·보안 안티패턴 10가지가 높은 빈도로 반복되는 것으로 나타났다.

가장 자주 발견된 문제는 ‘AI 친화적 주석 남발(Comments Everywhere)’이었다. AI가 추론을 돕기 위해 남기는 과도한 주석이 사람 리뷰어에게는 인지적 부담만 키우는데도, 90~100%의 ‘치명적(Critical)’ 빈도로 나타났다는 설명이다.

또한 “교과서 패턴에 집착하는 코드(By-the-Book Fixation)”, “리팩토링을 회피해 읽기 어려운 구조를 쌓는 경향(Avoidance of Refactors)”, “발생 가능성이 거의 없는 극단적 엣지 케이스까지 과잉 구현(Over-Specification)”, “같은 기능을 매번 새로 구현하며 동일한 버그를 반복하는 현상(Bugs Déjà-Vu)” 등이 80~90%의 높은 비율로 관찰됐다.

Ox 시큐리티는 이런 위험을 관리하기 위해서는 “개발 조직 내 역할 설계 자체를 바꿔야 한다”고 제안했다. AI는 구현을 빠르게 처리하는 ‘구현 지원 도구’로 두되, 제품 기획, 아키텍처 설계, 장기적인 코드 전략은 반드시 사람이 책임지고 수행해야 한다는 것이다.

특히 보안 측면에서는 “전통적인 수동 코드 리뷰를 1차 방어선으로 보는 사고방식은 사실상 폐기해야 한다”며, AI 프롬프트 단계에서부터 보안 요구사항을 명시하고, AI의 코드 생성 속도를 따라갈 수 있는 자율형 보안 도구에 투자해야 한다고 강조했다.

비슷한 문제의식을 보다 ‘시스템’ 관점에서 정리한 분석도 나왔다. 엔지니어 아나 빌데아(Ana Bildea)는 미디엄(Medium) 기고문 ‘The Hidden Technical Debt Inside Your Generative AI Stack’에서, “전통적인 기술 부채는 대체로 선형(linear)으로 쌓이지만, AI 기술 부채는 복리(compound)처럼 불어난다”고 지적했다.

그는 AI 기술 부채를 키우는 세 가지 요소로 △ 코드 어시스턴트와 모델의 빠른 진화로 인한 ‘모델 버전 관리 혼란(model versioning chaos)’ △ 불필요한 양의 코드와 중복 구현을 낳는 ‘코드 생성 비대화(code generation bloat)’ △ 조직 내 팀별로 서로 다른 모델·도구를 쓰며 통일된 기준이 없는 ‘조직 파편화(organization fragmentation)’를 꼽았다. 이 세 가지가 상호 작용하면서, 처음에는 “AI 덕분에 개발이 빨라진 것처럼 보이지만, 1년 반 안에 ‘우리 시스템을 아무도 이해 못해서 기능을 못 내는’ 상황으로 바뀔 수 있다”고 경고했다.

그는 “많은 기업이 AI 도입률과 기능 출시 속도만 관리할 뿐, 기술 부채 축적은 측정조차 하지 않는다”며, “AI 시대에는 ‘얼마나 빨리 만들었는가’와 함께 ‘얼마나 빨리 망가지지 않게 했는가’를 동시에 관리해야 한다”고 강조했다.

[저작권자 ⓒ 뉴스닻. 무단전재·재배포 금지]
최승림 기자 (seunglim.choi@newsdot.net)