자연어 한 줄로 React 컴포넌트가 생성되는 시대가 왔습니다. Vercel이 공개한 생성형 UI 플랫폼 V0는 텍스트 또는 이미지 입력만으로 프론트엔드 시안을 즉시 만들어줍니다. 저도 Bolt.new로 비슷한 경험을 해봤는데, 이런 도구들이 실제 외주 현장에서 어떻게 작동하는지는 소개 영상과 꽤 다른 면이 있습니다.
프로토타이핑 속도가 바꾼 외주 현장
V0는 자연어 프롬프트나 이미지를 입력하면 React 컴포넌트 3종을 동시에 생성해 줍니다. 생성에는 30 크레딧이 소모되고, 이후 수정 프롬프트는 10 크레딧씩 차감되는 구조입니다. 무료 플랜 기준 200 크레딧이 제공되니 처음 써보기에는 충분한 양입니다.
저는 Bolt.new로 유사한 워크플로를 실제 외주에 적용해 봤습니다. 클라이언트가 "대시보드와 가입 폼이 있는 SaaS"라고 한 문장만 던졌는데, 프론트엔드부터 API, DB, 인증 레이어까지 한 번에 스캐폴딩(scaffolding)이 됐습니다. 스캐폴딩이란 프로젝트의 기본 구조와 파일 틀을 자동으로 잡아주는 과정을 의미합니다. 덕분에 디스커버리 단계부터 작동하는 시안, 사용성 테스트까지의 사이클이 기존 3주에서 5일로 줄었습니다. 같은 방식으로 진행한 외주가 2건 더 있었는데 결과는 비슷했습니다.
V0의 경우 Vercel이 Next.js를 만든 회사라는 점에서 React 생태계와의 연동이 자연스럽습니다. 생성 코드가 Shadcn UI, Tailwind CSS 기반으로 나오기 때문에 기존 Next.js 프로젝트에 바로 붙여 쓸 수 있다는 게 실질적인 장점입니다.
프롬프트 품질이 결과물을 결정한다
V0가 아무리 좋아도, 입력하는 프롬프트의 질이 낮으면 결과물은 기대 이하입니다. 저는 Bolt.new를 쓰면서 이 점을 뼈저리게 느꼈고, 결국 한국형 프롬프트 라이브러리를 직접 만들었습니다. 결제, 본인인증, 회원가입, 이용약관, 환불 총 5개 시나리오에 대한 검증된 프롬프트 템플릿을 정리했고, 외주 3건에 재사용한 결과 첫 빌드 성공률이 38%에서 84%로 올랐습니다.
이 과정에서 한 가지 패턴을 발견했습니다. 한국어 프롬프트를 그대로 쓰면 생성된 컴포넌트의 텍스트가 영문과 섞여 나오는 경우가 잦다는 것입니다. 이건 V0도 Bolt.new도 마찬가지입니다. 한국어 UI를 원한다면 프롬프트 안에 언어 조건을 명시적으로 지정해야 하고, 컴포넌트별로 노출 텍스트를 따로 지정하는 방식이 더 안정적이었습니다.
V0는 생성 결과를 Fork하거나 Star하는 기능이 있어 GitHub과 유사한 협업 구조를 지원합니다. 무료 플랜에서 생성한 결과물은 공개(public)로 저장되고, 비공개로 유지하려면 월 20달러짜리 유료 플랜이 필요합니다. 클라이언트 작업물을 다룰 때는 이 부분을 반드시 확인해야 합니다.
국내 소프트웨어 개발 시장에서 AI 기반 개발 도구 도입률은 빠르게 증가하고 있습니다. 2024년 기준 국내 IT 기업의 생성형 AI 업무 활용률은 전년 대비 두 배 이상 증가했습니다(출처: 정보통신정책연구원).
한국 결제·인증 연동이라는 현실적 장벽
V0로 UI를 뚝딱 만들었다고 해서 한국 서비스 출시 준비가 된 건 아닙니다. 제가 직접 써봤는데, 이 부분이 가장 큰 현실적 장벽이었습니다.
한국 서비스에서 필수인 PG사 연동, 즉 나이스페이먼츠나 KG이니시스 같은 결제대행사 연동 패턴을 V0나 Bolt.new는 제대로 알지 못합니다. PG사(Payment Gateway)란 온라인 결제에서 상점과 금융기관 사이를 중개하는 결제대행사를 의미합니다. 이들의 SDK 연동 방식은 글로벌 Stripe 방식과 구조가 달라서, AI가 생성한 결제 로직을 그대로 쓰면 테스트 환경에서도 오류가 납니다. 본인인증 API도 마찬가지입니다.
이런 이유로 저는 한국형 도입 가이드에 반드시 포함돼야 할 세 가지를 정리했습니다.
- 한국어 프롬프트 정제 규칙 (영문 혼입 방지, 컴포넌트 텍스트 명시)
- 한국형 결제·본인인증 연동 표준 (나이스페이먼츠, KG이니시스, PASS 인증 패턴)
- 생성 코드 보안 점검 체크리스트 (SQL 인젝션, 인증 토큰 관리 항목 포함)
이 세 가지를 묶지 않으면 빠른 프로토타이핑이 나중에 더 큰 기술 부채로 돌아올 수 있습니다.
보안 검토 없는 생성 코드는 위험하다
솔직히 이건 예상 밖이었습니다. V0나 Bolt.new가 생성하는 백엔드 코드의 보안 이슈는 생각보다 심각한 수준으로 나타날 수 있습니다.
SQL 인젝션(SQL Injection)이란 악의적인 SQL 구문을 입력란에 삽입해 데이터베이스를 공격하는 기법입니다. AI가 생성한 코드는 이 취약점에 노출된 쿼리 구조를 종종 포함합니다. 인증 토큰 관리도 마찬가지로, JWT(JSON Web Token) 즉 서버가 클라이언트에 발급하는 암호화된 인증 정보를 잘못된 방식으로 저장하거나 검증하는 코드가 그대로 생성되는 경우가 있습니다.
OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안 취약점을 매년 정리해 발표하며, 이 기준으로 보면 AI 생성 코드 상당수가 상위 10개 취약점 중 복수에 해당하는 패턴을 포함합니다(출처: OWASP).
제 경험상 이건 디자이너나 기획자 혼자 보장하기 어렵습니다. MVP를 배포하기 전에 시니어 엔지니어의 코드 리뷰 한 시간을 반드시 확보해야 합니다. 코드 리뷰 비용을 아끼려다 보안 사고 처리 비용이 훨씬 커지는 상황을 저는 주변에서 실제로 목격했습니다.
그리고 한 가지 더, 저는 Bolt.new로 만든 MVP의 6주 후 잔존 사용자 데이터를 별도로 추적하는 방식을 씁니다. 리텐션(retention), 즉 일정 기간 후에도 서비스를 계속 사용하는 사용자 비율을 보면 데모 효과와 진짜 제품-시장 적합성(PMF) 시그널을 구분할 수 있습니다. 빠르게 만들었다고 빠르게 검증됐다고 착각하면 안 됩니다.
V0 by Vercel은 분명히 개발 속도를 단축시켜주는 실질적인 도구입니다. 하지만 한국 서비스 환경에서는 프롬프트 정제, 결제·인증 연동, 보안 점검 세 가지를 반드시 병행해야 합니다. 이 도구를 쓸 계획이라면 웨이트리스트 등록과 함께 이 세 가지 체크리스트를 먼저 준비해 두시길 권합니다. 빠른 프로토타이핑의 이점은 준비된 사람이 가장 크게 누릴 수 있습니다.