원문: irregular.com | 토론: GeekNews · 댓글 5개
핵심 요약 보안 회사 Irregular의 연구에 따르면, Claude, ChatGPT, Gemini 같은 최신 LLM이 생성하는 비밀번호가 겉으로는 100비트 이상의 엔트로피를 가진 것처럼 보이지만, 실제로는 약 27비트 수준으로 극도로 취약하다. LLM은 진정한 난수 생성이 불가능하며 예측 가능한 패턴을 따르기 때문이다. 이는 Vibe Coding으로 서비스를 구축하는 비개발자들에게 특히 위험한데, DB 접속 비밀번호 같은 민감한 기본값이 LLM에 의해 생성될 수 있기 때문이다. 개발자라면
openssl rand -hex 64같은 시스템 난수 생성기를 사용해야 한다.
커뮤니티 의견
- @mammal: “아… 공대 1학년한테 미적분 다시 가르치는 교수님들이 왜 그 표정인지 이제 알겠다.”
- @davespark: “개발자들이야 별 문제 없겠지만. 요즘 바이브코딩으로 일반인들도 코딩 많이 하니까 코드 속에 자동으로 묻어 들어가는 기본값들이 더 문제될 거 같아요.”
- @click: “openssl rand -hex 64 시키면 잘 할텐데 굳이 LLM이 직접 비밀번호를 생성하게 해야할까요…?”
💡 실무 포인트: AI 코딩 도구 사용 시 비밀번호/시크릿 생성은 반드시 시스템 난수 생성기(openssl, /dev/urandom)를 명시적으로 사용하도록 프롬프트에 지시