바이브 코딩으로 만든 환자 관리 앱의 보안 참사

• 의료기관 직원이 AI 코딩 에이전트로 환자 관리 시스템을 직접 제작하며, 환자 데이터가 인터넷에 암호화 없이 노출됨
• 진료 대화 녹음이 두 개의 AI 서비스로 전송되어 자동 요약되었고, 모든 데이터에 읽기·쓰기 권한이 열려 있었음
• 데이터는 미국 서버에 저장되었으며 데이터 처리 계약(DPA) 없이 운영되고, 환자에게 사전 고지도 이루어지지 않음
• 이러한 행위는 스위스의 nDSG 데이터 보호법과 직업상 비밀 유지 의무를 위반할 가능성이 있음
• 작성자는 “AI 코딩이 단순한 vibe 수준에 머물면 안전하지 않은 미래로 이어진다”고 경고함

AI로 만든 환자 관리 앱의 보안 참사

• 의료기관 직원이 AI 코딩 에이전트를 이용해 환자 관리 시스템을 직접 제작한 사례
  • 기존 환자 데이터를 모두 가져와 인터넷에 공개 배포
  • 진료 중 대화 녹음 기능을 추가하고, 두 개의 AI 서비스로 전송해 자동 요약 기능 구현
• 결과적으로 모든 환자 데이터가 암호화 없이 인터넷에 노출된 상태였음
  • 작성자는 30분 만에 전체 데이터에 읽기·쓰기 권한을 확보
  • 문제를 보고했으나, 돌아온 답변은 AI가 자동 생성한 감사 메시지였음
• 데이터는 미국 서버에 저장되어 있었고, 데이터 처리 계약(DPA) 없이 운영
  • 음성 녹음 파일도 미국 기반 AI 기업으로 전송
  • 환자에게 이러한 데이터 처리 사실은 사전 고지되지 않음
• 이 행위는 스위스의 nDSG(데이터 보호법) 및 직업상 비밀 유지 의무(Berufsgeheimnis) 위반 가능성이 있음
  • 법률 전문가는 아니지만, 다수의 조항이 위반된 것으로 판단
• “AI 코딩이 단순한 ‘분위기(vibe)’ 수준으로 남을 경우, 안전하지 않은 미래로 이어질 것”이라는 경고 제시

기술적 배경

• 애플리케이션은 단일 HTML 파일로 구성
  • 모든 JavaScript, CSS, 구조 코드가 인라인으로 포함
  • 백엔드는 접근 제어가 전혀 없는 관리형 데이터베이스 서비스 사용
• 접근 제어 로직이 클라이언트 측 JavaScript에만 존재
  • 단 한 줄의 curl 명령으로도 데이터 접근 가능
• 모든 음성 녹음 파일은 외부 AI API로 직접 전송되어 전사 및 요약 처리
• 이 정도만으로도 심각한 보안 부실이 명확함

전망

• AI 코딩 도구를 사용할 때는 코드 구조와 아키텍처를 이해할 수 있는 능력이 필수
• 단순히 “AI로 코딩 분위기를 즐기는(vibing)” 수준의 접근은 위험한 결과를 초래함
• AI 개발 도구 확산 속에서 기본적인 보안 인식과 기술 이해가 반드시 필요함