AI 에이전트로 구축한 의료 시스템의 보안 참사

한 의료진이 기존의 검증된 솔루션 대신 AI 에이전트를 사용하여 직접 환자 관리 시스템을 구축했다가 발생한 심각한 데이터 유출 사례임. 개발 지식이 없는 상태에서 AI의 도움만으로 소프트웨어를 만드는 '바이브 코딩(Vibe Coding)'의 위험성을 여실히 보여줌.

주요 보안 결함 및 노출 사례

• 완전한 데이터 노출: 암호화되지 않은 환자 데이터가 공개 인터넷에 노출되었으며, 단 30분 만에 모든 데이터의 읽기 및 쓰기 권한을 탈취할 수 있었음.
• 부적절한 아키텍처: 모든 보안 로직이 클라이언트 측 JavaScript에만 존재했으며, 백엔드 데이터베이스에는 아무런 접근 제어 설정이 되어 있지 않았음.
• 무단 데이터 공유: 환자 동의 없이 진료 중 음성을 녹음하여 외부 AI 서비스로 전송하고 요약본을 생성함.

AI 의존형 개발의 법적·윤리적 문제

작성자는 이 시스템이 스위스 개인정보보호법(nDSG) 및 직업적 비밀 유지 의무를 위반했을 가능성이 높다고 지적함. 특히 보안 사고 보고에 대해 AI가 생성한 답변으로 일관하는 등 개발 주체의 책임감과 이해도가 전무했다는 점이 가장 큰 문제로 꼽힘.