I. 문제의 배경 및 설명
1.1 AI IDE 에코시스템 현황
지난 12개월 동안 대규모 언어 모델(LLM) 기반 코드 생성 도구가 개발자 워크플로에 빠르게 통합되었으며, Cursor, Windsurf, Google Antigravity와 같은 차세대 AI IDE가 Microsoft의 VSCode에 구축되어 Claude, GPT-4, Gemini 등의 모델을 통합하여 코드 완성, 멀티태스킹 및 다중 문서 편집 기능을 제공합니다. 이러한 플랫폼은 Claude, GPT-4 및 Gemini와 같은 모델을 통합하여 코드 완성, 다중 파일 편집 및 자율 작업 실행 기능을 제공합니다. 이러한 플랫폼은 사용 편의성과 개발 효율성 향상으로 빠르게 채택되어 누적 사용자 수가 100만 명을 넘어섰습니다.
그러나 이러한 IDE는 처음부터 개발되는 것이 아니라 VSCode 소스 코드를 포크하여 구현됩니다. 포크된 모델은 개발 주기를 단축하는 동시에 추천 로직 확장을 포함하여 원래 프로젝트의 핵심 설계 결정을 상속합니다.
1.2 핵심 취약점 메커니즘
구성 상속 문제: 확장 기능에 대한 VSCode의 권장 구성은 Microsoft의 공식 Visual Studio Marketplace에 대한 포인터를 하드코딩합니다. 그러나 커서, 윈드서프, 구글 안티그래비티는 법률 및 라이선스 제한으로 인해 Microsoft의 확장 프로그램 마켓플레이스를 직접 사용할 수 없었고 대신 이클립스 재단에서 운영하는 오픈 소스 대안인 OpenVSX에 의존했지만, 이러한 IDE는 포크 과정에서 적절한 조정 없이 원래 구성을 그대로 유지했습니다.
권장 트리거 메커니즘: n8n과 같은 AI IDE에 대한 확장 권장 사항은 두 가지 범주로 나뉩니다:
파일 기반 권장 사항:사용자가 특정 파일 형식(예: azure-pipelines.yaml)을 열었음을 감지하면 자동으로 확장자를 제안합니다.
소프트웨어 기반 권장 사항:시스템에 특정 애플리케이션(예: PostgreSQL)이 설치되어 있는 것을 감지하면 트리거됩니다.
네임스페이스 하이재킹 위험: 핵심 문제는 이러한 권장 확장(예: ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines)은 일반적으로 OpenVSX에 엔티티가 없으므로 게시자 네임스페이스가 '선언되지 않음' 상태에 있다는 것입니다. 즉, 퍼블리셔 네임스페이스가 "선언되지 않은" 상태입니다. 공격자는 누구나 이러한 네임스페이스를 등록하고 악성 확장을 업로드할 수 있으며, IDE의 추천 메커니즘은 이러한 악성 버전을 공식 제품인 것처럼 사용자에게 자동으로 표시합니다.
1.3 개념 증명 및 실제적 시사점
코이 시큐리티 연구원들은 개념 증명(PoC)을 통해 공격의 실현 가능성을 확인했습니다. 그들은 다음을 포함하여 여러 개의 선언되지 않은 네임스페이스를 주장했습니다:
ms-ossdata.vscode-postgresql
ms-azure-devops.azure-pipelines
msazurermtools.azurerm-vscode-tools
usqlextpublisher.usql-vscode-ext
cake-build.cake-vscode
연구원들이 플레이스홀더로 명확하게 표시되어 있고 기능이 없는 확장 프로그램을 업로드했음에도 불구하고 1,000명 이상의 개발자가 이를 설치했으며, 아이콘과 명확한 표시가 전혀 없는 확장 프로그램을 설치한 경우도 500건 이상 발생했습니다. 이 데이터는 개발자들이 IDE 권장 사항에 대해 얼마나 높은 수준의 신뢰를 가지고 있는지, 그리고 이 공격이 얼마나 실용적인지를 보여줍니다.
II. 기술적 분석
2.1 공급망 공격에 대한 완전한 공격 체인
이 취약점은 공급망 공격의 두 번째 범주, 즉 개발자가 신뢰하는 도구를 오염시켜 대규모 다운스트림에 영향을 미치는 공격에 해당합니다. Shai-Hulud 2.0 npm 웜과 같은 패키지에 대한 기존의 공격과 달리, 이 취약점의 공격 벡터는 더 직접적이고 방어하기 어렵습니다:
초기 항목:공격자가 OpenVSX에서 선언되지 않은 네임스페이스를 탐지합니다(IDE 구성 파일을 스캔하여 식별).
네임스페이스 등록:대상 IDE에서 권장하는 네임스페이스를 OpenVSX에 등록합니다.
악성 확장 프로그램 업로드:백도어, 자격 증명 도용 또는 데이터 유출 로직이 포함된 악성 확장 프로그램 작성
자동으로 추천되는 트리거:사용자가 특정 파일을 열거나 시스템에서 관련 애플리케이션을 감지하면 IDE가 자동으로 악성 확장 프로그램을 추천합니다.
사용자 설치 및 활성화:추천의 신뢰성으로 인해 대부분의 사용자는 추가 확인 없이 확장 프로그램을 설치합니다.
코드 실행 및 지속성:악성 확장 프로그램은 IDE 프로세스, 파일 시스템 및 사용자 자격 증명에 대한 전체 액세스 권한을 얻습니다.
2.2 정보 보안 영향 평가
이 취약점의 영향은 개발자 에코시스템의 여러 중요 자산에 걸쳐 있습니다:
| 영향 유형 | 특정 위험 | 위협 수준 |
|---|---|---|
| 코드 무결성 | 악성 확장 프로그램은 개발 중에 소스 코드를 직접 수정하여 백도어 또는 취약점을 삽입할 수 있습니다. | 심각도 |
| 바우처 유출 | 환경 변수의 SSH 키, AWS 자격 증명, API 토큰, 데이터베이스 비밀번호에 대한 액세스 | 심각도 |
| 소스 코드 도용 | 공격자가 제어하는 서버에 프로젝트 코드를 업로드하여 지적 재산 유출로 이어지는 경우 | 심각도 |
| 공급망 독성 | 개발자가 컴파일된 제품에 악성 코드를 수동적으로 유포하여 다운스트림 사용자에게 영향을 미칩니다. | 심각도 |
| 영구 액세스 | 장기 모니터링 및 측면 이동을 위해 개발 환경에 백도어 만들기 | 심각도 |
| covert | 확장 코드는 사용자 관심이 낮은 영역에서 실행되는 경우가 많으며 탐지하기 어렵습니다. | 보통 |
2.3 오픈소스 생태계 취약성 상관관계
이 이벤트는 2025년에 여러 주요 공급망 이벤트와 함께 시스템적 위험 패턴을 형성합니다:
OpenVSX 취약점(2025년 6월)코이 시큐리티는 OpenVSX의 릴리스 프로세스에서 공격자가 OVSX_PAT 환경 변수를 탈취하여 전체 마켓플레이스에 대한 쓰기 권한을 획득할 수 있는 CI/CD 결함을 발견했습니다. 이 취약점은 "원클릭 마켓플레이스 전체 탈취"로 분류되며 8백만 명 이상의 개발자에게 영향을 미칩니다.
샤이-훌루드 npm 웜 (2025):자가 전파되는 이 멀웨어는 손상된 npm 패키지에 코드를 삽입하여 개발자의 npm 토큰을 자동으로 탈취하고 다른 패키지를 오염시키는 데 사용했습니다. 이 공격은 결국 500개 이상의 패키지 버전에 영향을 미쳤습니다.
GitHub 액션 공급망 이벤트 (2025년 3월)널리 사용되는 tj-actions/changed-files 액션이 공격자에 의해 수정되어 CI/CD 비밀 키가 공개 로그에 유출되었습니다.
이러한 사건들은 한 번의 침입으로 수백, 수천 개의 다운스트림 프로젝트에 영향을 미칠 수 있기 때문에 개발자 도구 체인이 가장 높은 가치를 지닌 공격 대상이 되었다는 사실을 보여줍니다.
III. 공급업체 대응 및 수리
3.1 공개 타임라인과 공급업체의 태도 비교
| 회사 | 보고 날짜 | 초기 응답 | 복원 상태 | 속도 등급 수정 |
|---|---|---|---|---|
| 커서 | 2025/11/23-24 | 빠른 확인 | 2025/12/1 재활 완료 | ✅ 우수(8일) |
| 2025/11/23-24 | 두 번의 거부 후 수락 | 2025/12/26 부분 수정, 2026/1/1 완전 수정 | ⚠️ 느린 (39일) | |
| 윈드서핑 | 2025/11/23-24 | 응답이 전혀 없음 | 복원되지 않음 | ❌ 응답 없음 |
요점을 분석하세요:
Cursor의 신속한 대응은 보안 팀의 성숙도를 보여주며, 8일 이내에 수정이 완료되었다는 사실은 회사가 취약점 관리 프로세스를 얼마나 중요하게 생각하는지 보여줍니다.
구글은 처음에 취약점의 심각성에 대한 초기 평가가 부적절했다는 이유로 "수정하지 않겠다"는 태도를 취했습니다. 커뮤니티와 언론의 압력에 따라 Google은 12월 26일에 13개의 리퍼럴을 먼저 제거한 후 1월 1일에 전체 수정을 확정하는 등 단계적으로 수정 작업을 진행했습니다. 이러한 단계적 대응은 내부 롤아웃 및 우선순위 지정의 복잡성을 반영한 것일 수 있습니다.
윈드서프의 응답이 없는 상태가 가장 우려되는 이유는 이 플랫폼이 광범위한 기업 사용자 기반을 보유하고 있고 수정이 오래 지연되면 이러한 사용자가 지속적으로 위험에 노출된다는 것을 의미하기 때문입니다.
3.2 재활 프로그램
커서 및 Google 수정 사항은 다음 원칙을 기반으로 합니다:
목록 정리를 권장합니다:존재하지 않는 확장명을 가리키는 추천 항목 제거하기
보정을 구성합니다:빌드 시점에 권장 확장 기능이 OpenVSX에 있는지 확인합니다.
네임스페이스 유효성 검사:추천 퍼블리셔가 공식 인증된 신원인지 확인합니다.
버전 잠금:동적 구문 분석에 의존하지 않고 특정 버전의 확장을 가리키도록 하드코딩하기
IV. 생태 방어와 장기적 과제
4.1 이클립스 재단 위험 대응
이클립스 재단은 OpenVSX의 운영자로서 체계적인 방어 조치를 취해 왔습니다:
네임스페이스 유효성 검사 개선:권한이 없는 당사자가 공식 네임스페이스를 청구하지 못하도록 더 엄격한 게시자 인증 프로세스를 구현합니다.
확장된 서명 메커니즘:확장 프로그램에 디지털 서명 도입을 장려하여 사용자가 확장 프로그램의 실제 출처를 확인할 수 있도록 합니다.
보안 감사:Koi Security와 협력하여 OpenVSX에서 선언된 네임스페이스를 전체적으로 감사하여 의심스러운 항목을 식별 및 제거합니다.
워크플로 개선 사항을 게시하세요:환경 변수 유출을 방지하기 위해 CI/CD 파이프라인에 대한 자격 증명 관리 개선
4.2 시스템적 위험과 MITRE ATT&CK 프레임워크 업데이트
MITRE는 2025년 4월에 ATT&CK 프레임워크에 "IDE 확장"을 공식적으로 추가하여 이러한 유형의 공격을 실행 가능한 위협 기법으로 업그레이드했습니다. 이 새로운 기법의 코드는 다음과 같습니다. Txxxx에서 다음 하위 기술을 다루고 있습니다:
악성 확장 프로그램 권장 사항:IDE의 추천 메커니즘을 통한 악성 확장 프로그램 배포
확장 네임스페이스 하이재킹:공식 확장 네임스페이스 등록 및 포즈 취하기
악성 코드 백로딩:확장 프로그램 업데이트 프로세스를 통해 합법적인 확장 프로그램에 악성 코드를 주입하는 행위
이번 업데이트는 업계에서 IDE 확장이 공격 벡터로서의 시스템적 위험성을 일반적으로 인식하고 있다는 사실을 반영한 것입니다.
4.3 개발자 보안 권장 사항
확장된 추천 메커니즘의 신뢰 기반을 고려할 때 개별 개발자는 다음과 같은 방어 조치를 취해야 합니다:
수동 유효성 검사:권장 확장 프로그램을 설치하기 전에 OpenVSX 웹사이트를 직접 방문하여 해당 확장 프로그램이 실제로 표시된 퍼블리셔의 확장 프로그램인지 확인하세요.
최소 권한의 원칙:설치된 확장 프로그램을 정기적으로 감사하고, 필수 확장 프로그램만 유지하고, 비활성 확장 프로그램은 비활성화하세요.
바우처 관리:민감한 자격 증명을 IDE에 일반 텍스트로 저장하지 말고 키 관리 시스템(예: 1Password, HashiCorp Vault)을 사용하세요.
환경적 격리:중요한 프로젝트에서 컨테이너화 또는 가상 머신을 사용하여 IDE 환경 격리하기
확장 모니터링:확장 프로세스에 대한 네트워크 동작 및 파일 액세스를 추적하기 위한 엔드포인트 모니터링 도구(EDR) 배포
4.4 엔터프라이즈급 거버넌스 권장 사항
AI IDE를 채택하는 조직의 경우 다음 거버넌스 프레임워크를 구현하는 것이 좋습니다:
| 거버넌스 차원 | 구체적인 조치 |
|---|---|
| 리소스 목록 | 사용자, 배포 위치 및 민감한 프로젝트 연결을 포함하여 배포된 모든 IDE 버전의 실시간 인벤토리를 유지하세요. |
| 확장된 화이트리스트 | IDE 구성, EDR 규칙 또는 네트워크 격리를 통한 확장된 화이트리스트 적용 |
| 코드 서명 확인 | 구현 프로세스는 모든 코드가 푸시되기 전에 서명 및 스캔되어 확장된 수정 코드를 감지하도록 보장합니다. |
| 로그 집계 | IDE 프로세스 로그를 집계하여 확장 프로그램 설치, 활성화, 네트워크 호출 등과 같은 이벤트를 추적합니다. |
| 공급업체 평가 | IDE 공급업체에 보안 평가 보고서, 취약성 대응 SLA, 확장된 시장 거버넌스 정책을 제공하도록 요구합니다. |
| 교육 인식 | 사회 공학 및 확장된 위험에 초점을 맞춘 개발팀 대상 정기 보안 교육 |
V. 시스템적 공격 표면 위험
5.1 VSCode 생태계의 취약성
현재 IDE 개발 패러다임에는 심각한 구조적 문제가 있습니다:
VSCode는 오픈 소스이지만 엔터프라이즈 환경에서의 독점적 지위로 인해 신생 공급업체는 시장에 빠르게 진입하기 위해 포크해야 했습니다. 그러나 포크된 모델은 원래 프로젝트의 모든 구성, 종속성 및 암묵적 가정을 상속하며, 보안 업데이트의 확산은 파편화로 인해 어려움을 겪습니다. 이는 기술 부채 측면에서 장기적인 위험을 초래합니다.
5.2 AI IDE의 확장되는 위협 환경
AI IDE는 기존 IDE에 비해 새로운 공격 표면을 도입합니다:
LLM 모델 중독:프롬프트 단어를 악의적으로 입력하면 모델이 백도어가 포함된 코드를 생성할 수 있습니다.
컨텍스트 유출:AI 모델은 코드를 처리할 때 민감한 정보를 클라우드로 전송할 수 있습니다.
권한 상승:AI 에이전트 모드가 자율적으로 작업을 수행할 때 사용자가 설정한 권한 경계를 넘을 수 있습니다.
5.3 업계 및 규제 기관의 기대치
공급망 보안에 대한 규제가 2025년에 사상 최고조에 달할 것으로 예상됩니다. 미국의 사이버 보안 행정 명령 14144와 유럽연합의 사이버 복원력 법은 모두 소프트웨어 공급망에 명확한 요구 사항을 부과하고 있습니다. 이러한 배경에서 IDE 공급업체는 다음과 같은 압박에 직면해 있습니다:
SBOM(소프트웨어 자재 명세서) 게시 확장 종속성 구현
수정 시간 약속(SLA)을 제공하고 응답을 공개적으로 공개합니다.
3자 감사를 통한 확장된 시장의 보안성 입증
VI. 결론 및 권장 사항
이번 침해 사고는 새로운 AI 개발 도구의 빠른 혁신과 보안 방어 사이의 근본적인 긴장을 반영합니다. 커서의 신속한 대응은 업계의 표준이 된 반면, 구글과 윈드서프의 지연은 조직 간 보안 우선 순위의 차이를 드러냈습니다.
주요 권장 사항
- 즉각적인 조치: 모든 AI IDE 사용자는 최신 버전(커서 ≥ 고정 버전, 구글 안티그래비티 ≥ 1월 1일 버전)으로 업데이트해야 하며, 윈드서프 사용자는 고정 대안으로 마이그레이션하거나 확장 기능을 사전에 제한하는 것을 고려해야 합니다.
- 에코 거버넌스: Eclipse 재단은 OpenVSX의 보안 메커니즘을 지속적으로 강화하고 모든 다운스트림 IDE 벤더와 정기적인 보안 계약을 체결해야 합니다.
- 기술 표준: OWASP 및 CWE 커뮤니티가 IDE 확장 공격에 대한 표준화된 탐지 및 완화 프레임워크를 구축할 것을 제안합니다.
- 장기적인 투자: 적절한 보안 평가 시스템을 구축하면서 제너레이티브 AI와 개발 도구의 통합을 장려합니다.
이 사건은 또한 개발자 커뮤니티에 하나의 자동화된 추천 메커니즘에 신뢰를 구축해서는 안 된다는 사실을 일깨워주었습니다. AI 지원 도구가 개발 프로세스에 점점 더 많이 도입되는 시대에는 수동 검증과 여러 계층의 방어가 여전히 필수적입니다.
참조 출처:
"VSCode IDE 포크는 사용자를 '권장 확장자' 공격에 노출시킵니다." 2026/1. /5.
https://www.bleepingcomputer.com/news/security/vscode-ide-forks-expose-users-to-recommended-extension-attacks/
"에이전트 IDE 비교: 커서 vs 윈드서프 vs 안티그래비티." 2025/12/29.
https://www.codecademy.com/article/agentic-ide-comparison-cursor-vs-windsurf-vs-antigravity
Veracode. "2025년 소프트웨어 공급망 공격." 2025/9/23.
해커 뉴스. "치명적인 오픈 VSX 레지스트리 결함으로 수백만 명의 개발자가 노출되었습니다." 2025/6/26.
https://thehackernews.com/2025/06/critical-open-vsx-registry-flaw-exposes.html
실로브레이커. "공급망 보안을 바꾼 12개월." 2025/12/16.
https://www.silobreaker.com/blog/cyber-threats/supply-chain-attacks-in-2025-a-month-by-month-summary/
보안 문제. "수백만 명의 개발자가 Open VSX 레지스트리 결함을 악용하고 있습니다." 2025/6/26.
https://securityaffairs.com/179398/hacking/taking-over-millions-of-developers-exploiting-an-open-vsx-registry-flaw.html
"A03 소프트웨어 공급망 장애 - OWASP 상위 10:2025."
https://owasp.org/Top10/2025/A03_2025-Software_Supply_Chain_Failures/
코이 보안. "어떻게 VSCode 포크를 사용하여 모든 개발자를 장악할 수 있었을까?" 2025/6/25.
https://www.koi.ai/blog/marketplace-takeover-how-we-couldve-taken-over-every-developer-using-a-vscode-fork-putting-millions-at-risk
Microsoft. "Shai-Hulud 2.0: 탐지, 조사 및 방어를 위한 지침." 2025/12/8. https://www.microsoft. com/en-us/security/blog/2025/12/09/shai-hulud-2-0-guidance-for-detecting-investigating-and-defending
"어떻게 커서, 윈드서프 및 구글 안티그래비티가 멀웨어를 추천하지 못하도록 막았나." 2026/1/5.
https://www.koi.ai/blog/how-we-prevented-cursor-windsurf-google-antigravity-from-recommending-malware
이클립스 재단. "이클립스 오픈 VSX 레지스트리 확장 게시 프로세스의 취약성." 2025/6/26.
https://newsroom.eclipse.org/news/announcements/vulnerability-eclipse-open-vsx-marketplace-extension-publication-process
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/ai-ide-cursor-windsurf-google-antigravity-report.html
