AI 코딩 보안 취약점 프라이버시 보호 AI 보안 러버블 데이터 유출 해커원 Gro k 4.2 API 보안 소프트웨어 보안

AI 코딩 플랫폼 '러버블'에서 대규모 데이터 유출 발생

AI 기반 코딩 플랫폼 러버블(Lovable)이 사용자들의 AI 채팅 기록과 프로젝트 데이터를 무단으로 노출했다는 사실이 보안 연구자 @weezerOSINT에 의해 확인되었다. 연구자는 4월 20일 X(구 트위터)에 게시한 글에서 "러버블 계정을 생성한 후 타 사용자의 소스 코드, 데이터베이스 인증 정보, AI 채팅 기록, 고객 데이터까지 무료 계정으로도 접근할 수 있었다"고 밝혔다.

이와 함께 연구자는 유출된 데이터의 스크린샷과 함께 버그 티켓(미해결 상태)을 공개했으며, 러버블은 2025년 11월 이전 생성된 모든 프로젝트에서 데이터가 노출됐음을 시인했다. 러버블은 초기 대응에서 "데이터 유출이 아니다"라며 "프로젝트를 공개로 설정한 경우 코드와 채팅이 노출되는 것은 의도된 기능"이라고 주장했으나, 이후 보안 패치를 진행했다고 밝혔다.

러버블의 초기 대응과 보안 허점

러버블은 X에 게시한 공지문에서 "데이터 유출이 없었다"며 "공개 프로젝트의 경우 코드와 채팅이 노출되는 것은 사용자가 설정한 옵션"이라고 설명했다. 그러나 이는 AI 모델과의 채팅 기록까지 무단으로 노출된 사실을 설명하지 못하는 것이었다. 이후 러버블은 "2월에 백엔드 권한 통합 과정에서 공개 프로젝트의 채팅 기록 접근이 재허용됐다"며 사과문을 게시했다.

연구자는 3월 초 해커원(HackerOne)을 통해 러버블에 이 문제를 보고했으나, 해커원은 "공개 프로젝트의 채팅 접근은 의도된 기능"이라는 판단으로 티켓을 닫았다. 러버블은 이후 API를 수정해 공개 프로젝트의 채팅 기록 접근을 차단했다고 밝혔다.

AI가 보안 조사 시간을 단축시킨 이유

@weezerOSINT는 러버블의 보안 허점을 발견하는 데 XAI의Gro k 4.2 모델을 단 30분 만에 사용했다고 밝혔다. 그는 "AI가 없던 시절에는 이와 같은 보안 취약점을 찾기 위해 수 시간 또는 수일까지 걸렸을 것"이라고 설명했다. 러버블은 현재까지 공식적인 입장 발표를 하지 않고 있으며, X에 게시된 공지만으로 대응하고 있다.

러버블의 보안 정책 재정비 필요

러버블은 AI 기반 코딩 플랫폼으로, 자연어 프롬프트를 통한 코드 생성 기능을 핵심으로 내세우고 있다. 그러나 이번 사건으로 인해 사용자들의 프라이버시 보호와 데이터 보안 정책에 대한 재검토가 필요한 상황이다. 보안 전문가들은 러버블이 공개 프로젝트의 범위를 명확히 정의하고, 사용자들에게 더 투명한 보안 정책을 제공해야 한다고 지적했다.

"러버블은 초기 대응에서 '데이터 유출이 아니다'라고 주장했지만, 실제로는 사용자들의 민감한 데이터가 무단으로 노출된 상태였다. 보안 정책의 투명성과 사용자 보호가 무엇보다 중요하다."

출처: Fast Company
비트코인 80억 달러 옵션 만기 앞두고 불안한 시장…Fed·유가·지정학적 리스크 겹쳐
← 이전

비트코인 80억 달러 옵션 만기 앞두고 불안한 시장…Fed·유가·지정학적 리스...

 BMW M2 F87을 한층 더 공격적으로! 알파-N의 카본 파츠 업그레이드
다음 →

BMW M2 F87을 한층 더 공격적으로! 알파-N의 카본 파츠 업그레이드