블로그 · 2026-07-03 · 5분

바이브코딩 사이트 보안 체크리스트 — API 키·Supabase RLS

AI 빌더가 자주 빠뜨리는 보안 항목과, 배포 전 반드시 확인해야 할 체크리스트.

AI 빌더는 동작하는 코드를 빠르게 만들지만, 보안은 자주 놓칩니다. 실제로 바이브코딩 앱을 조사한 여러 보안 리서치에서, 상당수가 인증이 없거나 민감 정보를 노출한 채 배포돼 있었습니다. 배포 전 아래 항목을 반드시 확인하세요.

1. Supabase RLS(행 수준 보안)를 켰는가

바이브코딩 앱 보안 사고의 가장 큰 비중이 RLS 미설정입니다. 공개 anon 키가 프론트에 있는 것 자체는 정상이지만, RLS가 꺼져 있으면 그 키만으로 누구나 테이블 전체를 읽을 수 있습니다. 민감 데이터가 든 모든 테이블에 RLS 정책을 켜세요.

2. API 키가 프론트 번들에 없는가

OpenAI·Anthropic·Stripe 같은 서버용 비밀 키가 클라이언트 자바스크립트에 포함되면 곧바로 유출됩니다. 비밀 키는 반드시 서버에서만 다루고, 프론트에는 공개 가능한 키만 두세요.

3. 소스맵·.env·.git이 노출되지 않았는가

프로덕션에 .map, .env, .git이 그대로 올라가면 코드 구조와 비밀이 드러납니다. 소스맵을 끄고 배포 산출물에서 제외하세요.

4. 인증·권한 검사가 서버에 있는가

AI가 만든 코드는 인증을 프론트에서만 체크하는 경우가 많습니다. '로그인한 척'하면 우회됩니다. 모든 인가 판단은 서버에서 이뤄져야 합니다.

5. 배포마다 다시 점검하는가

AI에게 수정을 시킬 때마다 새 취약점이 들어올 수 있습니다. 배포를 하나의 위험 이벤트로 보고, 매번 자동 점검을 돌리세요.

VibeCheck는 소스맵 노출, 프론트 API 키, .env/.git 접근, 보안 헤더 부재 같은 배포 위생 항목도 함께 검사해 등급으로 보여줍니다.

내 사이트는 티가 얼마나 날까?

URL 하나로 사용 스택과 바이브코딩 티를 바로 확인하세요.

감별하러 가기 →