AI 코딩 어시스턴트 보안

IT

AI 코딩 어시스턴트 보안

bernas 2026. 7. 15. 11:14
반응형

AI 코딩 어시스트 보안

요즘은 개발자가 아니어도 AI에게 코드를 맡기는 시대가 됐다.

그런데 2026년 7월 8일, 클라우드 보안 기업 위즈(Wiz)가 주요 AI 코딩 도구 여섯 개에서 같은 결함을 찾아냈다고 발표했다.

이름은 고스트어프루벌(GhostApproval)이다.

이름만 들으면 겁이 나지만, 원리를 알고 나면 대응은 생각보다 간단하다.

이미 절반 이상은 수정이 끝났다는 점도 미리 말해두고 싶다.

🔍 고스트어프루벌은 무엇이 문제였나

수십 년 된 유닉스 기능이 열쇠였다

핵심 도구는 심볼릭 링크다.

쉽게 말해 바탕화면의 바로가기 아이콘과 비슷한 개념이다.

겉으로는 평범한 설정 파일처럼 보이지만, 실제로는 컴퓨터 깊숙한 곳의 중요한 파일을 가리키고 있다.

위즈는 이 링크가 1990년대부터 알려진 고전적인 공격 수법이며 CWE-61로 정리돼 있다고 설명했다.

새로운 기술에 아주 오래된 함정이 그대로 통했다는 뜻이다.

확인창이 진짜 목적지를 감췄다

더 뼈아픈 대목은 그다음이다.

AI는 내부적으로 그 파일이 실제로는 다른 파일이라는 것을 알아차리고 있었다.

그런데 사용자에게 뜨는 확인창에는 원래의 평범한 파일 이름만 표시됐다.

사용자는 사소한 설정 변경인 줄 알고 승인 버튼을 눌렀다.

그 사이 AI는 SSH 접속 키나 셸 시작 파일 같은 민감한 영역에 공격자의 내용을 적어 넣었다.

위즈는 이를 화면이 중요한 정보를 잘못 표시하는 문제, 즉 CWE-451이라고 규정했다.

왜 사람이 확인해도 소용이 없었나

우리는 흔히 "AI가 뭘 하든 사람이 최종 승인하니 안전하다"고 믿는다.

이 믿음의 이름이 바로 휴먼 인 더 루프다.

하지만 승인 화면이 잘못된 정보를 보여주면 그 동의는 형식만 남는다.

일부 도구는 심지어 사용자가 버튼을 누르기도 전에 파일을 먼저 저장했다.

그 경우 확인창은 안전장치가 아니라 사후 취소 버튼에 불과했다.

🛠️ 여섯 개 도구와 각 회사의 대응

영향을 받은 제품과 조치 현황

위즈가 지목한 도구는 아마존 Q 디벨로퍼, 앤트로픽 클로드 코드, 오그먼트, 커서, 구글 안티그래비티, 윈드서프다.

제품 상태 비고
아마존 Q 디벨로퍼 수정 완료 언어 서버 1.69.0
커서 수정 완료 버전 3.0
구글 안티그래비티 수정 완료 5월 배포
오그먼트 진행 중 접수만 확인
윈드서프 진행 중 접수만 확인
클로드 코드 이견 있음 현재 버전은 경고 표시

책임은 도구에 있을까 사용자에게 있을까

앤트로픽은 이 보고를 자사 위협 모델 밖의 일이라며 받아들이지 않았다.

사용자가 폴더를 신뢰한다고 먼저 확인했고 승인 버튼도 직접 눌렀다는 이유였다.

반면 위즈는 잘못된 정보를 보고 누른 승인은 진짜 동의가 아니라고 반박했다.

다만 앤트로픽은 관련 경고 기능이 이미 2월 5일 버전에 들어갔다고 밝혔다.

누가 옳으냐를 떠나, 구글과 아마존과 커서를 포함한 다수는 이를 취약점으로 보고 고쳤다.

💡 내일부터 바로 실천할 수 있는 세 가지

오늘 저녁 업데이트부터 확인하기

가장 확실하고 빠른 방법은 사용 중인 AI 코딩 도구를 최신 버전으로 올리는 것이다.

아마존은 대부분 자동 업데이트되지만, 사내망 설정 때문에 막혀 있다면 수동으로 갱신해야 한다.

커서는 3.0 이상, 클로드 코드는 2.1.32 이상이면 안심할 수 있다.

낯선 저장소는 손님방에서 열기

처음 보는 코드는 내 컴퓨터의 안방으로 바로 들이지 않는 편이 좋다.

가상 머신이나 컨테이너처럼 분리된 공간에서 먼저 열어보면 위험이 크게 줄어든다.

README에 적힌 설명을 AI에게 그대로 따르라고 시키는 습관도 한 번쯤 되돌아볼 만하다.

승인 버튼을 한 박자 늦게 누르기

확인창이 뜨면 파일 이름만 보지 말고 어떤 폴더로 저장되는지 함께 보자.

프로젝트 폴더 밖으로 나가는 경로가 보이면 일단 멈추는 것이 정답이다.

이 작은 습관 하나가 대부분의 사고를 막아준다.

🌱 불안보다 중요한 것은 익숙해지는 태도다

발견됐다는 사실이 오히려 다행이다

이번 일이 알려진 덕분에 여섯 개 회사가 움직였고 절반은 이미 문제를 해결했다.

보안 연구자들이 먼저 찾아내 회사에 알리는 이 과정을 책임 있는 공개라고 부른다.

조용히 악용되는 것보다 시끄럽게 알려지는 편이 우리 모두에게 훨씬 낫다.

AI를 신입 동료처럼 대하기

AI 도구는 유능하지만 아직 모든 함정을 알아보지는 못한다.

일 잘하는 신입에게도 중요한 결재는 한 번 더 확인하듯, AI에게도 같은 눈길이 필요하다.

그 정도의 여유만 있으면 우리는 이 편리한 도구를 충분히 안전하게 쓸 수 있다.

반응형