💡 바이브 코딩 보안팁
실전 노하우 20선

💡AI가 생성한 코드에는 console.log(password) 같은 민감정보 노출 패턴이 자주 포함됩니다. 배포 전 반드시 검토하세요.

💡바이브 코딩의 최대 위험: AI는 .env 파일을 하드코딩하는 경향이 있습니다. 커밋 전 git diff로 확인하세요.

💡Supabase 프로젝트 생성 시 모든 테이블에 RLS(Row Level Security)를 즉시 활성화하세요. 기본값은 '끔'입니다.

💡AI가 작성한 API 라우트는 인증 미들웨어가 빠지는 경우가 많습니다. 모든 /api 경로에 토큰 검증을 추가하세요.

💡Next.js의 poweredByHeader: false 설정 한 줄로 X-Powered-By 헤더를 숨겨 공격자의 정보 수집을 차단할 수 있습니다.

💡바이브 해킹이란? AI 도구를 활용해 취약점을 빠르게 찾고 익스플로잇하는 새로운 공격 방식입니다. 방어도 AI로.

💡CORS 설정에서 origin: '*'(와일드카드)는 절대 금물. 반드시 허용할 도메인을 명시하세요.

💡클라이언트에서 받은 금액(amount)을 그대로 결제에 사용하면 가격 조작 공격에 취약합니다. 서버 DB에서 가격을 조회하세요.

💡AI 코드에서 jwt.decode() 사용 주의: 서명 검증을 건너뜁니다. 반드시 jwt.verify()를 사용하세요.

💡쿠키에 httpOnly: true, secure: true, sameSite: 'strict' 세 가지가 없으면 XSS와 CSRF 공격에 취약합니다.

💡오픈소스 AI 코딩 도구(Cursor, Copilot 등)에 업로드한 코드는 학습 데이터로 사용될 수 있습니다. .env 파일 절대 첨부 금지.

💡Math.random()으로 OTP나 세션 토큰을 생성하면 예측 가능합니다. crypto.randomBytes()를 사용하세요.

💡바이브 코딩으로 만든 파일 업로드 기능은 확장자 검증이 빠지기 쉽습니다. .php, .jsp 등 실행 파일 업로드를 차단하세요.

💡AI가 생성한 SQL 쿼리에서 사용자 입력을 직접 연결하는 패턴을 조심하세요. Parameterized Query를 항상 사용하세요.

💡개인정보보호법 제29조: 개인정보를 처리하는 서비스는 안전성 확보 조치(암호화, 접근제어 등)가 법적 의무입니다.

💡서버 오류 메시지를 그대로 클라이언트에 전달하면 스택 트레이스, DB 테이블명 등이 노출됩니다. 항상 일반화된 오류 메시지를 사용하세요.

💡로그인 API에 Rate Limiting이 없으면 1초에 수천 번 비밀번호를 시도하는 브루트포스 공격에 무방비입니다.

💡AI가 만든 관리자 페이지(/admin, /dashboard)가 인터넷에 노출되어 있는지 확인하세요. IP 제한이나 VPN 접근만 허용하세요.

💡바이브 코딩 보안 점검 팁: SecuFi(secufi.kr)로 매주 무료 점검을 실행하면 새로 추가된 취약점을 빠르게 발견할 수 있습니다.

💡GitHub에 실수로 API 키를 커밋했다면 즉시 키를 재발급하세요. git history에서 삭제해도 이미 스캔된 데이터는 남아있습니다.