원문: irregular.com | 토론: GeekNews · 댓글 5개
핵심 요약 보안 회사 Irregular의 연구에 따르면, Claude, ChatGPT, Gemini 같은 LLM이 생성하는 비밀번호는 겉으로는 100비트 이상의 엔트로피를 가진 것처럼 보이지만, 실제로는 27비트 수준에 불과하다. LLM은 진정한 무작위성을 생성하지 못하고 학습된 패턴을 따르기 때문에 예측 가능한 비밀번호를 생성한다. 이는 바이브코딩으로 서비스를 개발하는 비개발자들에게 특히 위험하며, DB 접속 비밀번호나 API 키 같은 민감 정보가 취약한 상태로 배포될 수 있다.
커뮤니티 의견
- @click: “openssl rand -hex 64 시키면 잘 할텐데 굳이 LLM이 직접 비밀번호를 생성하게 해야할까요…?”
- @davespark: “바이브코딩으로 일반인들도 코딩 많이 하니까 코드 속에 자동으로 묻어 들어가는 기본값들이 더 문제될 거 같아요.”
- @mammal: “아… 공대 1학년한테 미적분 다시 가르치는 교수님들이 왜 그 표정인지 이제 알겠다.”
💡 실무 포인트: 비밀번호/토큰 생성은 반드시 openssl rand 또는 시스템 CSPRNG를 사용하고, LLM에게 절대 위임하지 말 것.