기업용 코파일럿 및 로우코드 개발이 전례 없는 속도로 진화하고 있으며, 이에 따라 많은 수의 취약점에 노출되어 있는 것으로 나타났다.

기업용 코파일럿 보안 및 로우코드 개발 기업인 제니티(Zenity)는 ‘2024년 기업용 코파일럿 및 로우코드 개발 현황’ 보고서를 통해 이같이 발표했다.

마이크로소프트 코파일럿, 파워 플랫폼, 세일즈포스, 서비스나우, 자피어, 오픈AI 등을 통해 누구나 기업용 코파일럿 및 비즈니스 앱을 구축하거나 활용할 수 있다. 드래그 앤 드롭 인터페이스와 자연어 텍스트 프롬프트를 통해 내부 또는 외부 사용자가 민감한 데이터를 액세스, 전송 및 저장하고, 중요한 비즈니스 운영에 기여하도록 구축된 앱을 생성하거나 조작할 수 있다.

그러나 코파일럿 및 로우코드 플랫폼 내의 개발 수명 주기에서 보안 가드레일 및 위협 탐지 메커니즘이 부족하여 심각한 위험과 악의적인 활동을 초래할 수 있다.

이 문제는 비즈니스 중심 개발의 속도와 규모로 인해 통제할 수 없을 정도이며, 기업이 인식해야 할 새롭고 광범위한 공격 표면이 생겨나고 있다는 점이다.

보고서는 다음과 같은 위험에 대해 경고하고 있다.

코파일럿 및 로우코드 채택과 성장이 급증함에 따라 위험도가 증가하고 있다. 대기업은 평균적으로 기존 소프트웨어 개발 수명 주기(SDLC) 외부에서 개발된 약 8만 개의 앱과 코파일럿에 접근하고 있다. 이 8만 개의 앱과 코파일럿 중 약 5만 개에 취약점이 존재한다.

AI 도입 시 위험에 주의 해야 한다. 대기업은 평균적으로 로우코드 플랫폼을 사용하여 2600개 이상의 자체 활성 코파일럿을 개발했지만, 이 중 63%가 기업과 대중의 구성원에게 과도하게 공유되어 프롬프트 주입과 데이터 유출의 위험을 초래했다.

게스트 액세스는 내부 리소스에 대한 모니터링되지 않는 액세스 제공에 주의해야 한다. 단일 게스트 계정과 로우코드 플랫폼에 대한 평가판 라이선스를 갖춘 공격자는 기업용 코파일럿 또는 로우코드 플랫폼에 로그인하고 대상 디렉터리로 전환하여 기본적으로 플랫폼에 대한 도메인 관리자 수준의 권한을 가질 수 있다. 평균적인 기업은 코파일럿 및 로우코드 앱에 대한 권한이 있는 게스트를 6200명 이상 보유하고 있다.

로우코드에서 공급망 위험 만연해 있다. 기업들은 탈중앙화된 라이브러리에서 가져온 오픈 소스 구성 요소가 포함된 약 2000개의 애플리케이션을 보유하고 있으며, 이러한 구성 요소에는 암호와 기타 민감한 데이터를 훔치는 악성 코드가 포함될 수 있다. 이는 공격자가 오픈 소스 구성 요소에 위험한 소프트웨어를 쉽게 주입하여 다른 기업에 파급 효과를 일으킬 수 있는 기회를 제공한다.