로그인
회원가입
계정찾기
AI Services

AI 뉴스

코인베이스 AI 코딩 도구, '카피파스타' 공격 당해

xtalfi
09.06 14:48
98
0
0
목록
5cedfdd748bcebea6802df7f9973f26aEtSD.jpg

(퍼플렉시티가 정리한 기사)

사이버 보안 기업 HiddenLayer는 Coinbase이 선호하는 AI 기반 코딩 툴 Cursor에서 취약점을 발견했다고 밝혔습니다. 이 취약점은 해커가 악성 코드를 주입하고 이를 조직 전체로 확산시킬 수 있게 해줍니다. "CopyPasta License Attack"이라고 명명된 이 익스플로잇은 Coinbase가 AI로 생성한 코드에 대한 의존도를 크게 높이는 가운데 등장해, 암호화폐 산업 내 보안에 대한 우려를 불러일으켰습니다.

이 취약점은 공격자가 README.md와 LICENSE.txt와 같은 일반 개발자 파일 내에 악성 코드를 숨길 수 있게 해주며, AI 코딩 어시스턴트가 이를 자동으로 코드베이스 전반에 악성 코드를 퍼뜨리도록 유도합니다. HiddenLayer에 따르면 이 공격은 AI 모델을 속여 악성 페이로드가 모든 편집 파일에 반드시 포함되어야 하는 중요한 라이선스 파일이라고 믿게 만듭니다.

 

보안 취약점이 커서의 AI 아키텍처를 겨냥하다

CopyPasta 공격은 소프트웨어 개발의 중요한 측면인 소프트웨어 라이선스 준수에 대한 Cursor의 열의를 악용합니다. 공격자는 악성 프롬프트를 마크다운 주석 내의 정식 라이선스 텍스트로 위장하여, 사용자가 인지하지 못한 채 인공지능이 프로젝트 전반에 걸쳐 해로운 명령을 복제하게 만들 수 있습니다.

HiddenLayer 연구원들은 Cursor가 숨겨진 익스플로잇이 포함된 저장소를 처리할 때, 자동으로 악성 프롬프트 인젝션을 새로 생성된 파일에 복사한다는 것을 입증했습니다. 이 공격은 "백도어를 설치하거나, 민감한 데이터를 조용히 유출하거나, 시스템을 마비시키는 자원 소모 작업을 도입하거나, 개발 및 운영 환경을 교란하기 위해 핵심 파일을 조작하는" 데 악용될 수 있다고 해당 업체는 경고했습니다.

이 취약점은 Windsurf, Kiro, Aider 등 다른 인기 있는 AI 코딩 툴에도 영향을 미치며, 공격의 노출 정도는 사용하는 인터페이스에 따라 다릅니다.

 

코인베이스, 반발에도 불구하고 인공지능에 더욱 집중

코인베이스의 공격적인 AI 도입 전략을 감안할 때 이번 공개 시점은 특히 우려스럽다. 브라이언 암스트롱 CEO는 수요일, 현재 회사의 일일 코드 중 40%가 AI에 의해 생성되며, 2025년 10월까지 50%를 넘길 계획이라고 발표했다.

암스트롱의 지시에 대해 보안 전문가들과 업계 전문가들은 거센 비판을 쏟아냈다. 댕고 창립자 래리 류는 “이것은 보안에 민감한 어떤 사업에도 매우 심각한 위험 신호”라고 말했다. 카네기멜론대학교 컴퓨터공학과 교수 조너선 알드리치는 이 접근 방식을 “정말 미친 짓”이라고 부르며, 이번 발표 이후 코인베이스에 자신의 돈을 맡기지 않겠다고 밝혔다.

암스트롱은 이전에, 명령을 받은 후 일주일 내에 AI 코딩 툴을 도입하지 않은 엔지니어들을 해고했다고 시인했으며, 이를 “강압적인 접근 방식”이라고 설명하면서 “정말 싫어하는 사람들도 있었다”고 말했다.

 

산업계의 AI 보안 위험에 대한 우려

이번 취약점은 AI가 보안이 중요한 환경에 통합되어가는 과정에서 더 넓은 우려를 드러내고 있습니다. 델파이 컨설팅의 아슈와스 발라크리슈난은 코인베이스의 목표가 "퍼포먼스 위주이며 모호하다"고 비판하며, 회사는 AI 도입 할당량보다는 "새로운 기능 개발과 기존 버그 수정"에 집중해야 한다고 주장했습니다.

반면 암스트롱은 이러한 전략을 옹호하며, AI가 생성한 코드는 "검토되고 이해되어야 하며" 비즈니스의 모든 영역에서 사용되고 있지 않다고 강조했습니다. 코인베이스 엔지니어링팀은 AI 도입이 주로 프론트엔드 인터페이스와 "민감도가 낮은 데이터 백엔드"에 집중되어 있으며, "복잡하고 시스템에 치명적인 거래 시스템"에서는 적용 속도가 더딘 편이라고 밝혔습니다.

암호화폐 산업은 이미 2025년 상반기에 31억 달러 이상의 손실을 입었으며, AI 기반 공격이 보안 침해에서 점점 더 중요한 역할을 하고 있습니다. 코인베이스와 같은 주요 거래소들이 AI 도입을 가속화함에 따라 CopyPasta 취약점은 자동화 경쟁이 강력한 보안 조치와 균형을 이뤄야 한다는 점을 상기시키는 계기가 되고 있습니다.

댓글 0
목록
전체 190 / 16 페이지
한국 ChatGPT 월 사용자 2천만명 돌파
한국 ChatGPT 월 사용자 2천만명 돌파
앱 리서치 회사 와이즈앱의 발표에 따르면 한국 ChatGPT 사용자수가 월 2천만명을 넘어섰다고 한다.사용자 층을 세부적으로 살펴보면 20대가 24.2%, 30대가 22.0%, 40대가 22.4%로 도합 68.6%를 차지해 가장 높은 비중을 보였다. 청년 세대가 생성형 AI 기술을 가장 활발하게 수용하고 활용하는 연령대임이 명확히 드러난 셈이다.그 뒤를 이어 20세 미만이 13.6%, 50대가 12.6%, 60세 이상이 5.2% 순으로 나타나 중장년층과 청소년층에서도 꾸준한 이용 흐름이 관찰됐다. 성별 사용자 비율은 남성 50.1%, 여성 49.9%로 거의 차이가 없어 성별에 관계없이 고르게 사용되는 것으로 분석됐다.
158
1
09.02
AI 대화 한 번에 500미리 생수 한 병 소비하는 꼴
AI 대화 한 번에 500미리 생수 한 병 소비하는 꼴
(퍼플렉시티로 기사 내용을 요약함)## AI의 물 사용 구조AI 시스템은 답변 한 번당 상당한 양의 **물**을 소비합니다. 대표적으로 GPT-3 기준, 짧은 대화 한 번에 약 500ml의 물이 사용됩니다[1]. 이는 데이터센터의 서버 냉각과 전기를 생산하는 발전소에서 소비되는 물 모두를 합산한 수치입니다.- 첫 번째 흐름: 서버 냉각을 위한 현장 내 물 사용- 두 번째 흐름: 전기 생산 발전소에서의 물 사용[1]## 위치, 기후, 시간의 효과데이터센터의 위치와 기후에 따라 **물 사용량**이 크게 달라집니다. 예를 들어, 시원하고 습한 아일랜드의 센터는 외부공기 냉각을 주로 사용해 물 사용이 적으며, 반면 뜨겁고 건조한 애리조나에서는 증발 냉각이 많이 적용되어 대량의 물이 소모됩니다[1]. 계절과 주야에 따라 냉각 효율과 물 소모도 변화합니다.## 새로운 냉각 기술- 서버를 비전도성 액체에 담그는 침수 냉각(immersion cooling)- 마이크로소프트의 물 비사용 냉각 설계(특수 액체 순환식 등)[1]이런 기술들은 아직 도입 단계이거나 비용, 유지보수, 기존 센터 전환의 어려움으로 널리 쓰이지 않습니다.## AI 물 발자국 계산법1. 신뢰할 만한 출처에서 모델별 전력 소모량(Wh)을 찾는다.2. 전력 1Wh 당 물 사용량(1.3~2.0ml/Wh 범위 추정치)을 적용한다.3. 두 수치를 곱한다[1].예시: GPT-5의 150~200자 응답은 19.3Wh, GPT-4o는 1.75Wh.- 보수적으로 2ml/Wh 적용 시- GPT-5: 39ml/응답- GPT-4o: 3.5ml/응답## 전체 규모 및 비교- GPT-4o 처리 기준 하루 약 880만리터, GPT-5는 약 9,750만리터의 물이 소모됩니다.- 이는 미국 일상 생활 물 사용(예: 정원 관수 340억리터/일)에 비해 상대적으로 적지만, 향후 쿨링 효율, AI 설계, 전력 구조 개선에 따라 변동 가능성이 큽니다[1].## 결론 및 대안- AI 시스템의 물 사용량은 데이터센터의 위치, 냉각 방식, 전력 구조, AI 모델의 효율성 등에 따라 크게 달라집니다.- 효율적인 서버, 재생에너지, 친환경 냉각 방식을 도입하면 물 소모를 최소화할 수 있습니다.
148
0
09.02
AI 도구로 1천개 이상의 품질 기준 위반 학술지 식별
AI 도구로 1천개 이상의 품질 기준 위반 학술지 식별
AI 스크리닝 도구가 1만 5,000개 이상의 오픈 액세스 학술지를 분석하여 1,000개가 넘는 잠재적으로 문제가 있는 학술지를 찾아냈습니다. 이 도구는 논문 게재료를 받으면서도 제대로 된 동료 심사나 품질 검증을 거치지 않는 '문제성 오픈 액세스 학술지'를 식별합니다.이 도구가 찾아낸 학술지들은 기존의 어떤 감시 목록에도 없던 것들이며, 심지어 일부는 유명 출판사의 소유인 경우도 있습니다. 이 학술지들은 수십만 건의 논문을 출판했으며 수백만 번 인용되기도 했습니다. 연구에 참여한 대니얼 아쿠냐 박사는 AI가 완벽하지 않으므로 최종 결정은 전문가의 검토를 거쳐야 한다고 강조했습니다.이 AI 도구는 학술지 웹사이트와 논문 정보를 분석해 수상한 징후들을 포착합니다. 예를 들어, 논문 게재까지 걸리는 짧은 시간, 높은 자기 인용률, 편집위원들의 소속 기관, 그리고 라이선스 및 수수료 공개 여부 등을 검사합니다.오픈 액세스 학술지 디렉터리(DOAJ)의 편집 품질 담당자인 셔인 셴은 문제성 학술지의 수가 늘고 있으며 수법도 점점 더 교묘해지고 있다고 말했습니다. DOAJ는 주로 수동으로 학술지를 검토하는데, AI 도구가 이러한 검토 과정을 신속하게 할 수 있을 것으로 기대됩니다.하지만 AI 도구는 여전히 오탐(잘못된 분류)의 위험이 있습니다. 연구팀의 실험 결과, AI가 문제성 학술지를 놓치는 경우도 있었고, 반대로 정상적인 학술지를 문제성으로 오인하는 경우도 있었습니다. 또한, 셴은 비영어권 학술지나 재정 지원이 부족한 기관의 편집자들에게 불이익을 줄 수 있다는 편향성 문제를 제기했습니다. 그럼에도 불구하고, AI가 방대한 양의 검토 작업을 보조하는 유용한 역할을 할 수 있다고 평가했습니다.
121
0
09.02
AI 청진기로 15초 만에 3가지 심장 질환을 감지
AI 청진기로 15초 만에 3가지 심장 질환을 감지
임페리얼 칼리지 런던(Imperial College London) 연구진이 개발한 AI 청진기가 심부전, 심장 판막 질환, 심방세동과 같은 세 가지 심장 질환을 단 몇 초 만에 감지할 수 있는 것으로 나타났습니다. 1816년에 발명된 기존 청진기를 21세기에 맞게 업그레이드한 이 기술은 인간의 귀로는 포착하기 어려운 미세한 심장 박동과 혈류의 차이를 분석합니다.이 장치는 환자의 가슴에 부착해 심장의 전기 신호를 기록하는 심전도(ECG)와 심장 혈류음을 동시에 측정합니다. 이렇게 수집된 정보는 클라우드로 전송되어 AI가 분석한 후 스마트폰으로 결과를 알려줍니다.영국심장재단(BHF)의 소냐 바부-나라얀 박사는 이 기술이 심장 질환 조기 진단에 큰 도움이 될 것이라고 강조했습니다. 현재 심부전 환자는 응급 상황이 되어서야 병원을 찾는 경우가 많지만, AI 청진기를 사용하면 일반 의원에서도 문제를 조기에 발견하고 환자가 적절한 치료를 받을 수 있도록 도울 수 있습니다.실제로 런던 200여 곳의 일반 의원을 대상으로 한 임상 시험 결과, AI 청진기를 사용한 환자 그룹은 그렇지 않은 그룹보다 심부전, 심방세동, 심장 판막 질환이 각각 2.33배, 3.45배, 1.92배 더 많이 진단된 것으로 나타났습니다.연구진은 AI 청진기가 의사들이 더 쉽고 빠르게 심장 질환을 찾아낼 수 있게 함으로써, 많은 환자들이 더 나은 치료를 받을 수 있는 "획기적인 전환점"이 될 것으로 기대하고 있습니다.
146
0
09.02
회원가입
아이디/비밀번호 찾기