AI 코드는 "작동하는 것"과 "안전한 것"이 다르다
화면에 잘 뜨는 사이트와 안전하게 운영되는 사이트는 다릅니다. 바이브 코딩으로 만든 홈페이지의 90% 이상은 첫째 조건은 만족하지만 둘째 조건은 만족하지 못합니다. 이유는 단순합니다. AI는 **"이 코드가 작동하는가"**까지만 책임지고, **"이 코드가 안전한가, 검색에 잡히는가, 1년 뒤에도 수정 가능한가"**는 책임지지 않습니다.
이 차이는 납품 직후에는 보이지 않습니다. 보통 6~12개월 사이, 한 번에 터집니다.
블랙박스 코드의 정의
블랙박스 코드란 작동은 하지만 작동 원리를 아무도 모르는 코드를 말합니다. AI에게 "이런 기능 만들어줘"라고 지시해 받은 결과를 그대로 붙여 넣은 코드가 대표적입니다.
문제는 이 코드를 만든 사람조차 다음 질문에 답하지 못한다는 점입니다.
- 이 함수는 왜 이 위치에 있어야 하는가
- 이 변수를 바꾸면 어떤 화면이 영향을 받는가
- 이 외부 라이브러리가 다음 버전에서 빠지면 어디가 깨지는가
사람이 직접 설계한 코드에는 이 질문에 답이 있습니다. AI가 일괄 생성한 코드에는 답이 없습니다.
위험 1. 보안 취약점이 그대로 배포된다
AI는 학습 데이터에 포함된 코드 패턴을 재현합니다. 학습 데이터에는 안전한 코드도 있고, 취약한 코드도 있습니다. AI가 어느 쪽을 골랐는지는 검수 없이는 알 수 없습니다.
자주 발견되는 패턴은 다음과 같습니다.
- SQL 인젝션 방치: 사용자 입력을 그대로 쿼리에 붙이는 패턴. 회원 정보·결제 정보가 한 줄의 URL로 통째로 빠질 수 있음
- XSS 노출: 사용자가 입력한 HTML을 그대로 출력. 댓글 한 줄로 사이트 전체에 악성 스크립트 삽입 가능
- 환경 변수 하드코딩: API 키·DB 비밀번호가 코드에 그대로 박혀 깃허브에 공개되는 사례 빈발
2026년 1분기 기준 국내 중소기업 사이트 해킹 신고 건수가 전년 동기 대비 38% 증가했습니다. 바이브 코딩 보급과 시점이 정확히 겹칩니다. 본인이 만든 사이트의 어디에 어떤 입력값이 들어가는지 모르는 사람은, 사고가 나도 어디를 막아야 할지 모릅니다.
위험 2. 검색에서 사라진다
구글과 네이버는 사이트의 HTML 구조를 읽어 내용을 이해합니다. AI가 만든 코드는 시각적으로만 일치하면 합격점을 받기 때문에, 다음 패턴이 자주 나옵니다.
- 모든 텍스트가
<div>에 들어 있고<h1>,<h2>가 없음 → 검색엔진이 글의 주제를 파악 못 함 - 같은 이미지가 여러 위치에서 중복 로딩됨 → Core Web Vitals 점수 하락
<meta description>이 모든 페이지에서 동일함 → 검색 결과에 노출 안 됨- JSON-LD 구조화 데이터가 없음 → 리치 스니펫(별점, FAQ, 가격) 표시 불가
치명적인 점은 이 문제들이 검색 결과에 노출되지 않는 것으로만 드러난다는 사실입니다. 사이트는 잘 떠 있고, 광고를 돌리면 사람이 들어옵니다. 다만 구글에서 회사 이름을 검색해도 나오지 않습니다. 구글·네이버에서 내 사이트가 안 나오는 이유에서 더 자세히 다룹니다.
위험 3. 디버깅이 새로 만드는 것보다 오래 걸린다
장애가 났을 때 외부 개발자에게 의뢰하면, 첫 견적에 "코드 파악 비용"이 따로 잡힙니다. AI 생성 코드는 다음 이유로 파악이 어렵습니다.
| 항목 | 사람이 짠 코드 | AI가 짠 코드 |
|---|---|---|
| 파일 구조 일관성 | 패턴이 일관됨 | 같은 기능이 여러 위치에 흩어짐 |
| 변수·함수명 | 의미가 명확함 | data1, handleStuff 같은 일반어 빈발 |
| 주석 | 의도가 기록됨 | 없거나 무의미함 |
| 의존성 관리 | 필요한 것만 설치 | 사용 안 하는 라이브러리 다수 포함 |
같은 사이트의 같은 버그를 고치는 데 사람이 짠 코드는 2시간, AI가 짠 코드는 812시간이 걸리는 일이 일반적입니다. 시급 기준으로 46배 비싸진다는 뜻입니다.
위험 4. 웹 접근성·법적 책임을 놓친다
2026년부터 국내 일정 규모 이상의 사업장은 웹 접근성 인증(WA 인증)을 받지 않으면 과태료 대상이 됩니다. AI가 만든 사이트는 다음 항목을 자동으로 누락합니다.
- 이미지
alt텍스트 누락 - 폼 입력란의
<label>연결 누락 - 키보드만으로 메뉴 탐색 불가
- 색상 대비 비율 미준수
작동에는 영향이 없으므로 AI는 이 항목을 빠뜨려도 합격 판정을 내립니다. 그러나 법적 검수가 들어오는 순간 전체 페이지를 다시 마크업해야 합니다.
통제 가능한 사이트의 기준
오래 가는 사이트는 모든 코드가 통제 가능한 상태입니다. 누군가가 "이 줄을 왜 이렇게 짰는가"라고 물었을 때 답이 나와야 합니다.
치로웹디자인은 디렉터가 직접 구조를 설계하고, 마크업·보안·접근성을 사람이 검수합니다. AI 도구는 반복 작업을 줄이는 보조로만 쓰고, 책임은 사람이 집니다. 소수 정예 스튜디오 구조이기 때문에 모든 프로젝트에 같은 기준을 적용합니다.
납품 후 6개월·12개월 뒤에 외부 변화가 와도 빠르게 대응할 수 있습니다. 치로의 홈페이지 제작 서비스에서 작업 방식과 검수 기준을 확인할 수 있습니다.
자주 묻는 질문
내 사이트가 블랙박스 코드인지 확인할 방법이 있나요? 사이트를 만든 개발사에 "GitHub 저장소를 보여달라"고 요청해 보세요. 저장소가 없거나, 있어도 커밋이 한두 개뿐이라면 AI 일괄 생성 코드일 가능성이 높습니다. 또한 코드 안에 한 줄의 주석도 없으면 사람이 의도를 가지고 짠 코드가 아닙니다.
바이브 코딩 사이트의 보안 점검만 따로 받을 수는 없나요? 가능합니다. 다만 점검 결과 다수의 취약점이 발견되면 부분 수정이 어려운 경우가 많고, 전체 리모델링이 더 저렴해지는 구간이 있습니다. 점검 견적과 리모델링 견적을 함께 받아 비교하는 방식을 권합니다.
AI 도구를 쓰는 것 자체가 문제인가요? 아닙니다. AI는 강력한 보조 도구입니다. 문제는 검수 없이 결과물을 그대로 납품하는 방식입니다. 작업 의뢰 전 "AI는 어디까지 쓰고, 어디서부터 사람이 검수하는지"를 명시적으로 물어보면 위험을 크게 줄일 수 있습니다.