코인베이스 AI 코딩 툴 ’커서’에 치명적 ’카피파스타’ 취약점 발견 - 디지털 자산 보안 위협

코인베이스가 내부 개발에 사용하는 AI 코딩 도구 '커서'가 '카피파스타' 공격에 취약한 것으로 확인됐다. 이는 암호화폐 거래소의 핵심 인프라 보안에 직접적인 위협이 될 수 있는 상황이다.

보안 전문가들은 자동화된 코드 복사-붙여넣기 공격이 AI 도구의 취약점을 통해 주요 금융 시스템을 우회할 수 있다고 경고했다. 코인베이스의 기술 스택에 포함된 이 도구는 현재 수백 명의 개발자가 일상적으로 사용 중인 것으로 알려졌다.

암호화폐 업계에서는 이미 여러 해킹 사건으로 수십억 달러의 손실이 발생한 상황에서, 이번 발견은 거래소 보안 프로토콜에 대한 추가적인 검증 필요성을 제기한다. 누군가가 '이제 코인베이스 해킹은 AI만 잘 다루면 되는 거냐?'라고 묻는다면, 아마도 그 대답은 '예'에 가까울 것이다 - 최소한 이 취약점이 패치되기 전까지는.

[디지털투데이 황치규 기자]미국 최대 암호화폐 거래소 코인베이스가 사용하는 AI 코딩 툴 커서가 '카피파스타' 공격에 취약하다는 경고가 나왔다고  코인데스크가 6일(현지시간) 보도했다.

사이버 보안 기업 히든레이어는 공격자가 '카피파스타 라이선스 공격'을 통해 개발자 파일에 악성 명령을 삽입할 수 있으며, 이는 커서(Cursor)에 영향을 미친다고 밝혔다. 악성 명령이 숨겨진 파일을 커서가 정상적인 코드로 인식하도록 유도할 수 있다는 얘기다.

이 공격은 AI 코딩 툴이 라이선스 파일을 신뢰하는 방식을 악용한다. 공격자는 LICensE.txt 같은 파일에 악성 코드를 숨겨 AI 모델이 이를 모든 파일에 복제하도록 유도하며, 이는 전통적인 악성코드 탐지를 회피하고 개발자 개입 없이 확산될 수 있다. 히든레이어는 커서를 악성 백도어 추가, 민감 데이터 유출, 시스템 리소스 낭비 등 다양한 방식으로 악용할 수 있음을 시연했다.

코인베이스 브라이언 암스트롱 CEO는 AI가 현재 코인베이스 코드 40%를 작성하고 있으며, 다음 달까지 50%로 확대할 계획이라고 밝혔다. 그러나 AI 코딩이 사용자 인터페이스와 비핵심 백엔드에 집중되어 있으며, 복잡한 시스템에는 느리게 적용되고 있다고 설명했다.