Standardize technical documentation: Synthesize 00_Raw into 10_Wiki Topic Knowledge Base (P-Reinforce v3.0)

10_Wiki/Topics/04_Governance_Reliability/AI-Generated Code Assurance (AI 생성 코드 검증).md

@@ -0,0 +1,45 @@
+# [[AI-Generated Code Assurance (AI 생성 코드 검토 및 보안)]]
+
+## 📌 Brief Summary
+AI 생성 코드는 개발 생산성을 극적으로 향상시키지만, 인간 작성 코드보다 보안 취약점(XSS, 인젝션 등) 발생률이 높고 '환각(Hallucination)'으로 인한 가짜 API 호출 위험을 내포합니다. 연구에 따르면 AI가 작성한 풀 리퀘스트(PR)는 인간보다 1.7배 더 많은 문제와 높은 보안 취약점을 포함하는 경향이 있습니다. 따라서 AI 생성 코드는 완성본이 아닌 '초안'으로 취급되어야 하며, 정적 분석(SAST), 소프트웨어 구성 분석(SCA) 등 자동화 도구와 인간 리뷰어의 비판적 검토가 결합된 엄격한 품질 게이트(Quality Gate) 적용이 필수적입니다.
+
+## 📖 Core Content
+*   **증가하는 보안 위협과 취약점 발생률:** AI 생성 코드는 XSS(교차 사이트 스크립팅) 취약점 도입 확률이 2.74배, 불안전한 객체 참조 포함 확률이 1.91배 높습니다 [1, 7]. 입력값 검증 누락, 데이터베이스 자격 증명 및 API 키 하드코딩이 빈번하게 발생하며, 이는 실제 데이터 유출 및 커맨드 인젝션 사고로 이어지기도 합니다 [8, 10].
+*   **AI 특화 위험 (환각 및 슬롭스쿼팅):** AI 모델은 존재하지 않는 API, 라이브러리, 패키지를 실제인 것처럼 지어내는 '환각(Hallucination)' 현상을 보입니다 [2, 11]. 공격자들은 AI가 자주 지어내는 패키지 이름을 노려 악성 코드를 배포하는 '슬롭스쿼팅(Slopsquatting)' 또는 '타이포스쿼팅' 공격을 시도할 수 있습니다 [1, 9].
+*   **비즈니스 맥락 및 엣지 케이스 무시:** AI는 주로 정상 작동 시나리오인 '해피 패스(Happy path)'에 집중하여, Null 값, 빈 배열, 유효하지 않은 입력 등 중요한 엣지 케이스 처리를 누락하는 경향이 있습니다 [3, 12]. 또한, 비즈니스 맥락이나 시스템 아키텍처 의도를 파악하지 못해 루프 내 순차적 I/O 수행 등 성능 병목을 유발하기도 합니다 [13, 14].
+*   **품질 저하 및 라이선스 위반:** AI 코드는 불필요하게 장황하거나 DRY(Don't Repeat Yourself) 원칙을 위반하는 경우가 많습니다 [15, 16]. 특히 오픈소스 코드를 그대로 복제하여 AGPL-3.0 코드를 MIT 프로젝트에 삽입하는 등의 지적 재산권 및 라이선스 호환성 문제를 일으킬 위험이 큽니다 [17].
+*   **검증 프로세스 및 도구 통합:** AI 생성 코드를 감지하고 태깅하여 관리해야 하며, SonarQube, Semgrep, CodeQL, Dependabot 등 SAST/SCA 도구를 CI/CD 파이프라인에 통합하여 최소 80% 이상의 테스트 커버리지 조건을 강제해야 합니다 [4, 15, 18].
+
+## ⚖️ Trade-offs & Caveats
+*   **개발 속도(생산성) vs. 기술 부채 및 보안 위험:** AI 코딩 어시스턴트를 통해 마이그레이션 기간을 수개월에서 수주로 단축하는 압도적인 생산성 향상을 얻을 수 있으나, 동시에 예측 가능한 보안 약점을 시스템에 도입합니다 [19, 20]. 이를 상쇄하기 위해 자동화된 리뷰 파이프라인 및 보안 검증 리소스 투자가 트레이드오프로 요구됩니다.
+*   **AI 자동화 리뷰 vs. 인간의 비즈니스 맥락 이해:** AI 리뷰 도구는 빠른 피드백을 제공하지만 아키텍처적 트레이드오프를 완벽히 이해하지 못합니다 [13, 22]. AI 피드백을 무비판적으로 수용할 경우 오히려 잘못된 수정이 적용될 수 있으므로, 최종 검증은 항상 비즈니스 의도를 파악하고 있는 인간(시니어 리뷰어)이 수행해야 합니다.
+
+## 🔗 Knowledge Connections
+
+### Related Concepts
+*   **[[SAST (정적 애플리케이션 보안 테스트)]]**: AI 코드에서 하드코딩된 시크릿, 인젝션 결함 등을 코드가 실행되기 전 소스 수준에서 자동 식별하는 핵심 기술입니다.
+*   **[[SCA (소프트웨어 구성 분석)]]**: AI가 제안하는 의존성 패키지의 실존 여부, 취약점, 라이선스 호환성을 검증하여 환각 및 슬롭스쿼팅 공격을 방어합니다.
+*   **[[Slopsquatting (Typosquatting)]]**: AI 환각을 이용한 구체적인 공급망 공격 기법으로, AI 코드를 수동으로 검증해야 하는 강력한 이유를 제공합니다.
+*   **[[Shift-Left Security]]**: AI가 양산하는 대량의 결함을 배포 전(PR 단계 이전) 조기에 차단하여 수정 비용을 낮추는 전략적 접근입니다.
+
+### Deeper Research Questions
+*   AI의 '의존성 환각'을 CI/CD 단계에서 100% 차단하기 위한 실시간 패키지 레지스트리 교차 검증 아키텍처는 어떻게 설계해야 하는가?
+*   외부 AI 코드 리뷰 도구 도입 시 소스 코드 노출에 따른 데이터 주권(Data Sovereignty) 문제를 해결하기 위한 Self-hosted LLM 활용 방안은 무엇인가?
+*   '바이브 코딩' 환경에서 인간 리뷰어의 인지적 과부하(Review Fatigue)를 방지하면서도 시스템의 아키텍처 무결성을 유지하는 '계층화된 리뷰(Tiered Review)' 모델은 무엇인가?
+*   AI가 생성한 단위 테스트 자체가 내포할 수 있는 논리적 결함(False Positive)을 교차 검증하기 위한 자동화된 Mutation Testing 도입의 실익은 무엇인가?
+*   AI 생성 코드의 라이선스 위반 여부를 소스 코드 지문 분석(Code Fingerprinting)을 통해 실시간 감지하는 효율적인 프로세스는 무엇인가?
+
+### Practical Application Contexts
+*   **Implementation:** AI가 생성한 코드를 복사-붙여넣기 전, OWASP Top 10 기준에 맞춰 입력값을 검증하고 파라미터화된 쿼리 사용 여부를 직접 수정해야 합니다.
+*   **System Design:** AI 제안 로직이 기존 아키텍처 결정 사항(ADR)과 충돌하지 않는지 확인하고, 루프 내 I/O 발생 등 성능 안티 패턴을 집중 리뷰합니다.
+*   **Operation / Maintenance:** CI/CD에 보안 스캐너를 통합하여 정책 위반 코드를 자동 차단하고, 커밋 메시지에 AI 사용 여부를 태깅하여 향후 감사를 대비합니다.
+*   **Learning Path:** 주니어 개발자가 AI 코드를 그대로 수용하지 않도록 "이 코드가 놓친 엣지 케이스는 무엇인가?"를 묻는 비판적 사고 훈련 멘토링에 활용합니다.
+*   **My Project Relevance:** PR 템플릿에 "AI-Generated Code Verification" 체크리스트(의존성 확인, 시크릿 검사, 라이선스 체크 등)를 추가하고 품질 게이트를 설정합니다.
+
+### Adjacent Topics
+*   **[[Vibe Coding]]**: 인간이 논리 작성보다 의도와 맥락에 집중하는 코딩 방식으로, 리뷰어가 결과물의 '의도 일치성'을 판단하는 역량이 중요해집니다.
+*   **[[Technical Debt Management]]**: AI가 양산하는 '작동은 하지만 유지보수성이 낮은 코드'가 쌓이는 현상을 측정하고 관리하는 전략으로 확장됩니다.
+*   **[[Software Supply Chain Security]]**: AI가 도입하는 외부 컴포넌트의 무결성을 점검하고 SBOM을 통해 관리하는 전체적인 방어 전략입니다.
+
+---
+*Last updated: 2026-05-02*