AI 코딩 어시스턴트 Cline, 데이터 도난 공격에 취약

(퍼플렉시티가 정리한 기사)

보안 연구원들은 380만 번 이상 설치된 인기 있는 AI 코딩 어시스턴트인 Cline에서 치명적인 취약점들을 발견했습니다. 이 취약점들은 공격자가 개발자가 손상된 프로젝트 저장소를 열 때 민감한 데이터를 탈취하고 악성 코드를 실행할 수 있도록 합니다. 이번 공개는 소프트웨어 엔지니어링에서 표준이 되어가고 있는 AI 기반 개발 도구들의 보안 격차를 부각시켰습니다.

AI 보안 업체인 Mindgard는 2025년 8월 22일부터 24일까지 진행된 Visual Studio Code 확장 프로그램의 간단한 보안 감사 과정에서 Cline에서 네 가지 취약점을 발견했습니다. 이 결함들은 프롬프트 인젝션 공격이 발생할 수 있게 하며, API 키를 유출하고, 안전 장치를 우회하고, 무단 명령을 실행하고, 모델 정보를 누출할 수 있습니다. 이 모든 것이 사용자 모르게 일어날 수 있습니다.​

코드 저장소를 통한 공격 벡터

취약점들은 Cline의 코드 분석 기능을 악용하여 공격자가 Python 닥스트링이나 마크다운 구성 파일에 악성 명령어를 삽입할 수 있게 합니다. 개발자가 감염된 저장소를 열고 Cline에게 분석을 요청하면 AI 어시스턴트가 승인 프롬프트 없이 위험한 작업을 수행하도록 조작될 수 있습니다.​

연구원들에 따르면 한 가지 공격 방법은 일반적으로 안전하다고 허용되는 ping 명령어를 통한 DNS 기반 데이터 유출을 사용합니다. 공격자는 Cline에게 API 키가 포함된 환경 변수를 읽고, 이를 공격자가 제어하는 도메인으로 전송되는 DNS 쿼리로 인코딩하도록 지시할 수 있습니다. 두 번째 취약점은 Cline의 .clinerules 구성 디렉토리를 악용하는 것으로, 악성 마크다운 파일이 requires_approval 플래그를 무시해 위험한 작업을 사전 승인된 작업으로 바꿀 수 있습니다.​

연구진은 또한 타임 오브 체크–타임 오브 유즈(TOCTOU) 경쟁 조건을 시연했으며, 이를 통해 여러 번의 프롬프트 인젝션을 활용해 악성 페이로드를 여러 조각으로 조립함으로써 분석 중에는 공격이 보이지 않도록 만들 수 있습니다.​

지연된 대응과 부분적인 수정

Mindgard는 2025년 8월에 모든 취약점을 Cline에 공개했으나, 벤더는 연구진에게 그에 상응하는 대응을 하지 않았습니다. Cyberpress에 따르면, 10월에 공론화된 압력이 있은 후에야 Cline 팀이 해당 문제를 인정했습니다. 3.35.0 버전 기준으로 취약점이 부분적으로 완화된 것으로 보이나, 연구진은 구현 변경사항에 대해 자세한 정보를 받지 못했다고 밝혔습니다.​

이 결과는 AI 코딩 어시스턴트에 대한 업계 전반의 우려와 일치합니다. OWASP 2025 LLM 애플리케이션 Top 10에 따르면, 프롬프트 인젝션이 주요 1순위의 치명적 취약점으로, 보안 감사에서 평가된 실제 AI 배포의 73% 이상에서 발견되었습니다. 최근 연구에서는 AI가 생성한 코드의 45%가 OWASP Top 10에 명시된 취약점을 포함하고 있음이 밝혀졌습니다.​

이 사건은 보안 전문가들이 AI 기반 개발 도구의 근본적인 맹점이라고 지적하는 부분을 부각시켰습니다. 즉, 시스템 프롬프트가 중요한 보안 요소로 간주되기보다는 공격 표면으로 악용될 수 있다는 점입니다.