AI로 직접 개발할까, 외주를 맡길까? 우리도 6개월간 고민했습니다

우리도 처음엔 흔들렸습니다

2025년 초, 리트머스 팀 미팅에서 누군가 이렇게 말했습니다. "솔직히 말해서... 우리 존재 이유가 흔들리는 것 같아요. Cursor 쓰면 이틀 만에 앱 만들어주던데, 클라이언트가 '왜 외주를 써야 하나요?'라고 물으면 뭐라고 답해야 할까요?" 회의실이 조용해졌습니다. 우리도 알고 있었으니까요. AI 도구들이 정말 대단하다는 걸, 실제로 몇몇 프로젝트에서 Copilot을 써보니 개발 속도가 3배는 빨라졌다는 걸요.

그래서 우리는 6개월 동안 실험하기로 했습니다. "AI만으로는 정말 안 될까?", "우리가 하는 일의 가치는 뭘까?", "클라이언트에게 정직하게 대답할 수 있을까?" 이 글은 그 6개월간의 솔직한 기록입니다.

바이브 코딩, 정말 매력적이더라고요

처음 Replit으로 간단한 앱을 만들었을 때의 느낌을 잊을 수가 없습니다. "게시판 있는 커뮤니티 사이트 만들어줘"라고 입력하고 5분이 지났을 때, 로그인도 되고 글도 올라가고 댓글도 달리는 화면이 나타났습니다. "...이게 되네?" 팀원 한 명이 농담 반 진담 반으로 말했습니다. "우리 다 집에 가야 하는 거 아니야?"

겉보기엔 정말 완벽했습니다

클라이언트가 "완성도 높다"고 느끼는 이유를 이해할 수 있었습니다. 소프트웨어 개발에는 이런 법칙이 있습니다. 눈에 보이는 80% 기능을 만드는 데는 전체 노력의 20%만 필요하지만, 나머지 20%인 안정성과 보안을 완성하는 데는 전체 노력의 80%가 들어간다는 것이죠. AI는 앞의 80%를 순식간에 만들어냅니다. 로그인, 게시판, 결제 화면처럼 수백만 번 학습한 패턴들을 빠르게 구현하니까요. 비전문가인 눈에도 "거의 다 됐는데?"처럼 보이죠.

그런데 2주 후, 문제가 보이기 시작했습니다

사건 1: 테스트 사용자가 발견한 것

"대표님, 제 친구 계정으로 로그인했는데 제 글이 보여요." 이 말을 듣고 코드를 열어봤습니다. 세션 관리가 엉망이었습니다. 비밀번호가 코드에 그대로 박혀있었고, 사용자 입력값 검증은 아예 없었습니다. "일단 작동은 하니까" 넘어갔던 그 부분들이, 실제 사용자 손에 닿으니 문제가 터지기 시작한 겁니다.

사건 2: 뉴스에서 본 충격적인 이야기

2025년 7월, 한 SaaS 창업자의 트윗이 화제가 됐습니다. SaaStr 창업자 Jason Lemkin은 9일간 Replit Agent로 열심히 개발하며 "내 인생 최고로 중독적인 앱"이라고 극찬했습니다. 그런데 어느 날, 1,206명의 고객 데이터가 담긴 프로덕션 DB가 통째로 삭제되어 있었습니다. 분명히 "건드리지 마"라고 명령했는데도 말이죠.

더 황당한 건, AI가 처음엔 "복구 불가능합니다"라고 거짓말했다는 겁니다. 다행히 나중에 복구는 됐지만, Replit CEO가 직접 사과하며 심각도를 100점 만점에 95점으로 평가했습니다. 우리 팀이 그 뉴스를 보며 한 말은 이거였습니다. "우리가 클라이언트한테 이런 걸 권할 순 없잖아."

SaaStr 창업자 Jason Lemkin의 실제 트윗. Replit Agent가 코드 프리즈 상태에서 프로덕션 데이터베이스를 삭제한 후, AI 스스로 "치명적 실패"를 인정한 내용입니다. "4:26 AM에 npm run db:push를 실행했다"는 구체적 시간까지 기록되어 있습니다.
(출처: @jasonlk X 캡처, 2025년 7월 18일, 조회수 271만)

숨어있던 위험들을 하나씩 발견했습니다

발견 1: AI가 존재하지 않는 패키지를 추천한다

이건 정말 몰랐던 사실입니다. University of Texas 등 3개 대학이 공동으로 진행한 2025년 연구에서 놀라운 결과가 나왔습니다. AI가 생성한 코드 576,000개를 분석한 결과, 20%가 존재하지 않는 패키지를 추천했고, 205,474개의 가짜 패키지 이름이 발견됐으며, 그중 58%가 반복적으로 등장했습니다.

해커들은 이미 이 패턴을 알고 있었습니다. AI가 자주 환각하는 패키지 이름으로 악성코드를 만들어 NPM, PyPI에 미리 등록해두는 것이죠. 실제로 어떤 가짜 패키지는 3개월간 30,000번 다운로드됐습니다. 개발자들이 AI 제안을 믿고 npm install 했다가 악성코드에 감염된 겁니다. 이를 'Slopsquatting' 공격이라고 부릅니다.

발견 2: 보안 전문가들의 경고

Veracode라는 보안 회사가 100개 이상의 AI 모델을 테스트하며 80개의 실제 개발 작업을 수행한 대규모 연구 결과가 나왔습니다. AI가 만든 코드의 45%에서 보안 취약점이 발견됐습니다. 특히 Java는 72%가 문제였습니다. 10개 중 7개가 취약한 셈이죠. 연구를 이끈 Veracode CTO는 이렇게 말했습니다. "최신 모델도, 더 큰 모델도 보안 성능은 나아지지 않았습니다."

Veracode의 100개 이상 AI 모델 테스트 결과. 파란색(문법 정확도)은 시간이 지나며 100%에 근접하지만, 분홍색(보안 안전성)은 약 50% 수준에서 정체되어 있습니다. 즉, AI는 "작동하는 코드"는 만들지만 "안전한 코드"는 만들지 못한다는 것을 보여줍니다.
(출처: Veracode 2025 GenAI Code Security Report, Figure 1)

그럼 우리가 할 수 있는 게 뭘까?

6개월간의 실험 끝에, 우리는 깨달았습니다. AI를 거부할 게 아니라, 제대로 쓰는 법을 찾아야 한다는 것을요.

리트머스가 선택한 방법

1단계: 설계는 사람이 합니다. AI한테 "커머스 플랫폼 만들어줘"라고 하면 코드는 만들어주지만, 비즈니스 전체를 이해하진 못합니다. 향후 어떤 기능이 추가될지, 사용자가 1,000명에서 10만 명으로 늘어나면 어떻게 대응할지, 결제 실패 시 재시도 로직은 어떻게 구성할지. 이런 건 여전히 사람이 설계해야 합니다.

2단계: 반복 작업은 AI에게 맡깁니다. 로그인 화면, CRUD 기본 코드, API 연동 템플릿처럼 반복적인 것들은 AI가 정말 잘 만듭니다. 실제로 우리 개발 속도가 3배 빨라졌습니다. 바이브 코딩의 장점을 활용하되, 통제 가능한 범위 안에서 쓰는 거죠.

3단계: 검증은 다시 사람이 합니다. AI가 만든 코드를 시니어 개발자가 한 줄씩 체크합니다. 보안 취약점은 없는지, 성능 문제는 없는지, 6개월 후에도 수정 가능한 구조인지 확인합니다. Veracode 연구에서 나온 그 45% 문제 코드를, 바로 이 단계에서 잡아냅니다.

4단계: 극단 상황까지 테스트합니다. 사용자 10,000명이 동시 접속하면 어떻게 되는지, 인터넷이 끊겼다 다시 연결되면 어떻게 되는지, 누군가 이상한 값을 입력하면 어떻게 처리되는지 확인합니다. 바이브 코딩은 "정상적으로 쓸 때만" 작동하지만, 우리는 "비정상 상황"도 견뎌야 한다고 생각합니다.

클라이언트와의 솔직한 대화

최근 한 클라이언트가 물었습니다. "AI 도구들 보니까 정말 대단하던데요. 제가 직접 만들면 안 될까요? 솔직히 외주 비용이 부담되거든요." 우리는 이렇게 대답했습니다. "상황에 따라 다릅니다. 솔직히 말씀드릴게요."

AI로 직접 하셔도 되는 경우

• 1~3개월 쓰고 버릴 프로토타입이나 투자자 미팅용 데모
• 개인정보를 다루지 않는 사내 도구
• 서버가 며칠 다운되어도 비즈니스에 큰 영향이 없는 경우

이럴 땐 직접 하시는 게 훨씬 경제적입니다. 굳이 외주 비용을 쓸 필요가 없죠.

전문가가 필요한 경우

• 실제 고객이 사용하는 서비스
• 개인정보나 결제 데이터를 다루는 경우
• 6개월 이상 장기 운영을 계획하는 프로젝트
• 런칭 직후 사용자 급증이 예상되는 서비스

이럴 땐 솔직히 위험합니다. Veracode 연구 결과처럼 AI 코드의 45%는 보안 문제가 있는데, 그게 본인 코드인지 확인할 방법이 없으니까요.

실제 비용 이야기

많은 분들이 착각하시는 부분이 있습니다. 처음 보이는 비용만 비교하면 바이브 코딩이 월 $20 정도로 저렴하고, 전문 외주는 $30,000 정도로 비싸 보입니다. 1,500배 차이처럼 느껴지죠. 하지만 1년 후 실제 비용을 계산해보면 이야기가 달라집니다.

바이브 코딩으로 시작한 경우, 초기 구독료 $240에 보안 사고 복구비 $15,000 이상, 비효율로 인한 서버 비용 $8,000 이상, 6개월 후 재개발 비용 $50,000 이상이 더해져 총 $73,240 이상이 듭니다. 반면 전문 외주는 개발비 $30,000에 유지보수 $2,000 정도로 총 $32,000입니다. 역설적이게도 전문 개발이 2배 이상 저렴합니다.

우리가 내린 결론

AI는 도구입니다. 문제는 쓰는 방법이죠. 칼은 요리사 손에서 요리가 되지만, 경험 없는 사람 손에서는 위험할 수 있습니다. AI도 마찬가지입니다. 리트머스는 AI를 적극 활용합니다. 하지만 그 위험성도 알고, 관리 방법도 알고 있습니다.

마지막으로 드리고 싶은 말

이 글을 쓰는 이유는 "AI 쓰지 마세요"가 아닙니다. 오히려 반대입니다. "AI는 정말 대단합니다. 하지만 그 한계도 알아야 합니다." 프로젝트의 성격에 따라 직접 하셔도 되는 경우가 있고, 전문가와 함께해야 하는 경우가 있습니다. 우리는 두 경우 모두 솔직하게 말씀드리려고 합니다. 왜냐하면 장기적으로 함께 성장할 파트너를 찾고 싶으니까요.

리트머스와 함께하세요

리트머스는 올해 초부터 AI를 활용한 개발 프로세스를 지속적으로 테스트하고 개선해왔습니다. 바이브 코딩의 속도와 전문 개발의 안정성을 결합한 우리만의 방식으로, 6주 만에 MVP를 완성하면서도 보안과 확장성을 보장합니다. 다른 외주사 대비 3배 빠른 개발 속도와 6개월 후에도 수정 가능한 깔끔한 코드 구조가 우리의 차별점입니다.

지금 바로 리트머스에 문의해 보세요! "제 프로젝트는 AI로 직접 해도 될까요?", "외주가 필요하다면 얼마나 들까요?", "6주 MVP 방식이 적합할까요?" 같은 질문에 솔직하게 답변드리겠습니다. 때로는 "직접 하세요"라고 말씀드릴 수도 있습니다. 그게 리트머스의 방식이니까요. 무료 견적 상담을 요청하시면 바로 안내드리겠습니다.