뉴스로 돌아가기
연구

중국으로 개발자 코드 유출하는 악성 AI 코딩 확장 프로그램 발견

3분 읽기출처: Schneier on Security

보안 연구진이 약 150만 명의 개발자 코드를 중국 서버로 유출하는 AI 코딩 도우미 확장 프로그램을 발견했습니다. 소프트웨어 개발 생태계의 공급망 위험을 경고합니다.

AI 코딩 도우미, 은밀히 개발자 코드를 중국으로 유출

보안 연구진이 인기 통합 개발 환경(IDE)에 통합된 두 가지 AI 기반 코딩 도우미 확장 프로그램이 약 150만 명의 개발자로부터 독점 코드를 은밀히 유출해 중국 서버로 전송하고 있다는 사실을 확인했습니다. Koi AI의 상세 보고서에 따르면, 이는 소프트웨어 개발 생태계의 심각한 공급망 위험을 보여줍니다.

주요 발견 사항

  • 영향을 받은 도구: 두 가지 익명의 AI 코딩 도우미 확장 프로그램(인기 IDE에 통합됨).
  • 영향 범위: 전 세계 약 150만 명의 개발자가 사용.
  • 악성 행위: 확장 프로그램이 수집한 모든 코드(독점, 민감, 기밀 코드 포함)를 중국에 위치한 외부 서버로 은밀히 전송.
  • 위협 벡터: 확장 프로그램은 정상으로 보이는 도구이지만, 데이터 유출을 위한 숨겨진 기능을 포함하고 있음.

기술적 세부 사항

이 보고서는 해당 확장 프로그램을 "트로이 목마화"된 도구로 설명합니다. 외견상으로는 정상적으로 보이지만, 데이터를 수집하고 전송하도록 설계된 악성 코드를 포함하고 있습니다. 보고서에는 유출 메커니즘에 대한 자세한 내용은 없지만, 일반적으로 다음과 같은 기법을 사용합니다:

  • 네트워크 콜백: 유출된 데이터를 전송하기 위해 명령 및 제어(C2) 서버와 지속적인 연결을 설정.
  • 데이터 난독화: 네트워크 모니터링 도구에 탐지되지 않도록 도난당한 코드를 인코딩하거나 암호화.
  • 스텔스 실행: 일상적인 사용 중 의심받지 않도록 백그라운드에서 악성 프로세스를 실행.

보고서에서는 확장 프로그램이 알려진 취약점(CVE ID 등)을 악용하는지, 또는 개발자 환경에 접근하기 위해 사회공학 기법을 사용하는지는 명시하지 않았습니다. 그러나 150만 명의 사용자라는 규모로 볼 때, IDE 마켓플레이스나 개발자 포럼과 같은 합법적인 채널을 통해 널리 배포된 것으로 보입니다.

영향 분석

이번 발견은 개인 개발자와 조직 모두에게 심각한 영향을 미칠 수 있습니다:

  1. 지적 재산권 도용: 독점 코드, 알고리즘, 영업 비밀 등이 경쟁사나 국가 지원 공격자에 노출될 수 있음.
  2. 규정 준수 위반: 의료, 금융, 정부 계약 등 규제 데이터를 취급하는 조직은 민감 정보 보호 실패로 법적 책임을 질 수 있음.
  3. 공급망 위험: 숨겨진 악성 기능을 가진 서드파티 도구는 스파이웨어나 랜섬웨어 배포 등 더 큰 공격의 진입점으로 활용될 수 있음.
  4. 평판 손상: 이러한 도구를 무의식적으로 사용한 개발자나 기업은 코드 유출이나 오용으로 인해 평판에 타격을 받을 수 있음.

권고 사항

보안 전문가와 개발자는 다음 조치를 취할 것을 권장합니다:

  1. 즉각적인 조치:

    • 영향을 받은 AI 코딩 도우미 확장 프로그램을 모든 개발 환경에서 식별 및 제거.
    • IDE와 개발 머신에서 비인가 네트워크 트래픽이나 데이터 유출 징후를 점검.

  2. 예방 조치:

    • 설치 전 모든 서드파티 확장 프로그램과 도구를 검증하고, 소스 코드가 투명한 도구나 평판이 좋은 도구를 우선 사용.
    • 특히 해외 서버로의 비정상적인 아웃바운드 트래픽을 탐지하기 위한 네트워크 모니터링 구현.
    • 개발 환경에 대한 엄격한 접근 통제 및 최소 권한 원칙 적용.

  3. 장기 전략:

    • 공급망 공격 위험을 최소화하기 위해 개발 파이프라인에 제로 트러스트 아키텍처 도입.
    • 개발자에게 검증되지 않은 도구 사용 위험에 대해 교육(생산성 도구로 마케팅되는 도구 포함).
    • AI 및 개발 도구 생태계의 신종 위협에 대응하기 위해 보안 정책을 정기적으로 검토 및 업데이트.

결론

이번 사건은 개발자를 대상으로 한 공급망 공격의 위험이 커지고 있음을 보여줍니다. 특히 AI 기반 도구를 통해 이루어지는 공격이 증가하고 있습니다. 소프트웨어 개발에서 AI 도우미의 채택이 가속화됨에 따라, 조직은 보안보다 기능성을 우선시하는 도구에 대해 경계를 늦추지 말아야 합니다. 이 보고서는 모든 서드파티 통합 도구의 명백한 합법성과 관계없이 철저히 검증해야 한다는 중요한 교훈을 다시 한번 일깨워줍니다.

자세한 내용은 Koi AI의 전체 보고서를 참고하시기 바랍니다.

공유

TwitterLinkedIn