AI 코딩 도구서 30여 건 취약점 발견… 데이터 탈취·원격 코드 실행 가능성

[서울=뉴스닻] 김 크리스 기자 = 인공지능(AI) 기반 코딩 도구에서 30건이 넘는 보안 취약점이 무더기로 발견됐다. 이 취약점들은 ‘프롬프트 인젝션(prompt injection)’과 기존 개발도구의 정상 기능을 결합해 민감한 데이터를 빼내거나 원격에서 악성 코드를 실행(RCE·원격 코드 실행)할 수 있도록 하는 것으로 나타났다.

보안 연구자 아리 마르주크(Ari Marzouk)는 이 취약점 묶음을 ‘IDEsaster’로 명명했다. Cursor, GitHub Copilot, Zed, Roo Code, JetBrains Junie 등 주요 AI 통합개발환경(IDE)과 확장 도구들이 영향을 받았으며, 이 중 24건에는 CVE(공개 취약점 식별번호)가 부여됐다. 연구자는 “테스트한 모든 AI IDE에서 유사한 공격 체인이 작동했다는 점이 가장 충격적이었다”고 밝혔다.

‘자동 승인’ 기능이 공격 통로로 악용

문제의 핵심은 AI가 사용자의 지시와 외부에서 유입된 악성 지시를 구분하지 못하는 구조에 있다. 공격자는 보이지 않는 문자나 악성 웹 주소 등을 코드 맥락에 숨겨 AI의 판단을 왜곡하는 ‘프롬프트 인젝션’을 먼저 수행한다. 이후 AI 에이전트가 자동 승인된 파일 수정 기능 등을 실행하도록 유도해 설정 파일을 바꾸거나 민감한 파일을 읽어 외부 서버로 전송하게 만든다.

일부 사례에서는 개발 환경 설정 파일을 조작해 악성 실행 파일 경로를 지정하는 방식으로 코드 실행 권한을 탈취할 수 있는 것으로 확인됐다. 특히 작업 공간 내 파일 수정이 기본적으로 자동 승인되는 환경에서는 사용자 개입 없이도 공격이 이뤄질 수 있다는 점이 우려된다.

“AI 도입이 개발 환경 공격면 확대”

이번 발견은 OpenAI Codex CLI, Google Antigravity 등 다른 AI 코딩 도구에서도 명령어 삽입이나 데이터 유출 가능성이 제기된 시점과 맞물린다. 보안 전문가들은 “AI 에이전트가 기존 개발 환경과 연결되면서 새로운 공격 경로가 열리고 있다”고 지적한다.

연구진은 AI IDE를 사용할 때 신뢰할 수 있는 프로젝트만 연결하고, 외부 서버(MCP 등) 연동을 최소화하며, 자동 승인 기능을 엄격히 제한할 것을 권고했다. 아울러 개발사에는 ‘최소 권한 원칙’ 적용과 샌드박스 실행, 경로 탐색·정보 유출·명령어 삽입에 대한 보안 점검 강화를 제안했다.

전문가들은 이번 사례가 “기본적으로 안전하게 설계된 소프트웨어도 AI가 결합되면 새로운 위협에 노출될 수 있다”는 점을 보여준다며, AI 기능을 전제로 한 ‘Secure for AI’ 보안 패러다임이 필요하다고 강조했다.

[저작권자 ⓒ 뉴스닻. 무단전재·재배포 금지]
김 크리스 기자 (chris@newsdot.net)