AI 에이전트의 합법적 기능이 데이터 유출·RCE로 악용 가능

[보안뉴스 김형근 기자] 보안 연구원 아리 마르주크가 주요 AI 기반 통합 개발 환경(IDE)에서 30개 이상의 보안 취약점을 발견했다. 그는 이를 ‘ID이스터’(IDEsaster)로 총칭했다.

커서, 윈드서프, 깃허브 코파일럿, 제드닷데브(Zed.dev) 등 인기 있는 AI IDE 및 확장 프로그램들이 이 취약점의 영향을 받을 수 있다. 이 중 24개는 CVE 식별자가 할당됐다.


[자료: 아리 마르주크]

특히 다수의 일반적인 공격 체인이 테스트 대상이 된 거의 모든 AI IDE에서 작동했다는 점에서 주의가 필요하다.

ID이스터는 프롬프트 인젝션 기본 요소와 AI 에이전트의 정상적 기능을 결합해 데이터 유출 및 원격 코드 실행(RCE)을 가능하게 한다.

이들 공격은 주로 AI 기반 IDE에 공통적인 3가지 벡터를 연계해 악용한다. 대규모 언어 모델(LLM)의 보호 장치를 우회해 문맥을 탈취한 후, AI 에이전트의 자동 승인 도구 호출을 통해 사용자 상호작용 없이 특정 작업을 수행한다.

이를 바탕으로 IDE의 합법적 기능을 악용해 보안 경계를 벗어나 민감 데이터를 유출하거나 임의 명령을 실행할 수 있다.

CVE-2025-49150(커서) 등의 사례에서는 프롬프트 인젝션을 사용하여 민감 파일을 읽은 후, 원격 JSON 스키마를 통해 데이터를 공격자 서버로 유출시킬 수 있음이 확인됐다.

또 CVE-2025-53773(깃허브 코파일럿) 등의 사례는 설정 파일을 편집해 악성 실행 파일의 경로를 설정함으로써 원격 코드를 실행했다.

이러한 공격은 특히 AI 에이전트가 작업 공간 내 파일 쓰기를 자동 승인하도록 기본 설정돼 있을 때, 사용자 상호작용 없이도 임의 코드 실행을 유발한다.

마르주크 연구원은 개발자들에게 최소 권한의 원칙을 적용하고, 샌드박싱을 사용하며 프롬프트 인젝션 벡터를 최소화하도록 권고했다. 또 AI 기능을 기존 애플리케이션에 연결할 때 발생하는 새로운 위험에 대비해야 한다고 경고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>