Lovable는 안전한가요? Lovable 앱을 안전하게 만드는 방법
Lovable은 빠르게 결과물을 내놓고 Supabase 백엔드까지 연결해 줍니다 — 하지만 데이터베이스를 읽기 가능 상태로 열어두는 경우가 흔합니다.
Lovable 자체가 '안전하지 않은' 것은 아니지만, 그것이 생성하는 앱은 안전하지 않은 경우가 많습니다. 가장 흔한 문제는 Lovable이 구성한 Supabase 데이터베이스에 행 수준 보안(RLS)이 없거나 너무 느슨하게 설정되어, 누구나 사용자 데이터를 읽고(때로는 쓰기까지) 할 수 있다는 점입니다. CVE-2025-48757과 2026년 4월의 대규모 유출이 모두 여기서 비롯됐습니다.
Lovable은 정식 AI 앱 빌더이지만, 생성되는 앱은 기본 상태로는 안전하지 않은 경우가 많습니다. 가장 흔한 단 하나의 문제는 Supabase 행 수준 보안(RLS)이 없거나 너무 느슨해서, 공개된 anon 키를 가진 누구나 사용자 데이터를 읽고 — 때로는 쓰기까지 — 할 수 있다는 점입니다. Lovable CVE-2025-48757과 2026년 4월의 대규모 데이터 유출이 모두 같은 근본 원인에서 비롯됐습니다. Lovable로 안전한 제품을 만들 수 있지만, 생성된 앱을 초안으로 여기고 출시 전에 반드시 보안 점검을 한 번 거쳐야 합니다.
Lovable 보안 한눈에 보기
- 플랫폼 유형
- 노코드 AI 앱 빌더 (Supabase 백엔드)
- 가장 흔한 위험
- Supabase 테이블의 행 수준 보안이 열려 있음
- 주요 사고
- CVE-2025-48757 (CVSS 최대 9.3, 170개 이상 앱)
- 점검 방법
- anon 키로 무료 Supabase RLS 검사 실행
- 출시해도 되나요?
- 네 — RLS를 켜고 보안 검토를 거친 뒤에
Lovable에서 가장 흔한 보안 위험
행 수준 보안이 완전히 열려 있음
테이블이 공개 anon 키로 읽히는 경우가 많습니다. 'RLS를 켰으니 괜찮아'는 가장 흔하면서도 가장 잘못된 가정입니다. RLS가 켜진 것처럼 보여도 Lovable은 읽기 권한을 활짝 열어두는 경우가 흔합니다.
브라우저로 전송되는 비밀 정보
service-role 키, Stripe 키 등 비밀 정보가 클라이언트 번들에 포함되어, 개발자 도구만 열면 누구나 볼 수 있게 되는 경우가 있습니다.
실제 인증이 없는 관리자 경로
생성된 관리자 페이지가 적절한 권한 검사 없이 접근 가능한 경우가 많아, URL을 추측한 사람이라면 누구나 들어갈 수 있습니다.
Lovable mass data exposure
Every project before Nov 2025
A disclosure claimed every Lovable project created before November 2025 was exposed — driven by missing row-level security on user databases.
Public disclosure, Apr 2026 (amplified across X/HN)
Lovable 앱을 안전하게 만드는 방법
60초 만에 당신의 Lovable 앱을 점검하세요
배포된 URL을 붙여넣어 무료 출시 준비도 검사를 받고, 출시 전에 전문가가 검토하고 보험으로 보증하는 출시 승인을 받으세요.
Lovable 보안 자주 묻는 질문
- Lovable을 실제 제품에 써도 안전한가요?
- 네, 검토를 거친다면요. Lovable은 정식 플랫폼이지만 기본 출력물에는 적절한 행 수준 보안이 빠져 있고 비밀 정보가 새어 나갈 수 있습니다. 생성된 앱은 출시 전 보안 점검이 필요한 초안으로 여기세요.
- 내 Lovable 앱의 데이터베이스가 노출됐는지 어떻게 알 수 있나요?
- 프로젝트 URL과 공개 anon 키로 무료 Supabase RLS 검사를 실행하세요 — 인증 없이 읽을 수 있는 모든 테이블을 나열해 줍니다.
- Lovable은 왜 RLS를 열어두나요?
- Lovable은 '빠르게 동작하는 소프트웨어'를 우선합니다. 모든 테이블에 엄격하고 올바른 행 수준 보안 정책을 자동으로 생성하는 것은 어렵기 때문에, 느슨한 기본값을 내놓고 직접 조여 가도록 맡기는 경우가 많습니다.