로그인
회원가입
계정찾기
AI Services

AI 뉴스

코인베이스 AI 코딩 도구, '카피파스타' 공격 당해

xtalfi
2025.09.06 14:48
1,482
0
0
목록
5cedfdd748bcebea6802df7f9973f26aEtSD.jpg

(퍼플렉시티가 정리한 기사)

사이버 보안 기업 HiddenLayer는 Coinbase이 선호하는 AI 기반 코딩 툴 Cursor에서 취약점을 발견했다고 밝혔습니다. 이 취약점은 해커가 악성 코드를 주입하고 이를 조직 전체로 확산시킬 수 있게 해줍니다. "CopyPasta License Attack"이라고 명명된 이 익스플로잇은 Coinbase가 AI로 생성한 코드에 대한 의존도를 크게 높이는 가운데 등장해, 암호화폐 산업 내 보안에 대한 우려를 불러일으켰습니다.

이 취약점은 공격자가 README.md와 LICENSE.txt와 같은 일반 개발자 파일 내에 악성 코드를 숨길 수 있게 해주며, AI 코딩 어시스턴트가 이를 자동으로 코드베이스 전반에 악성 코드를 퍼뜨리도록 유도합니다. HiddenLayer에 따르면 이 공격은 AI 모델을 속여 악성 페이로드가 모든 편집 파일에 반드시 포함되어야 하는 중요한 라이선스 파일이라고 믿게 만듭니다.

 

보안 취약점이 커서의 AI 아키텍처를 겨냥하다

CopyPasta 공격은 소프트웨어 개발의 중요한 측면인 소프트웨어 라이선스 준수에 대한 Cursor의 열의를 악용합니다. 공격자는 악성 프롬프트를 마크다운 주석 내의 정식 라이선스 텍스트로 위장하여, 사용자가 인지하지 못한 채 인공지능이 프로젝트 전반에 걸쳐 해로운 명령을 복제하게 만들 수 있습니다.

HiddenLayer 연구원들은 Cursor가 숨겨진 익스플로잇이 포함된 저장소를 처리할 때, 자동으로 악성 프롬프트 인젝션을 새로 생성된 파일에 복사한다는 것을 입증했습니다. 이 공격은 "백도어를 설치하거나, 민감한 데이터를 조용히 유출하거나, 시스템을 마비시키는 자원 소모 작업을 도입하거나, 개발 및 운영 환경을 교란하기 위해 핵심 파일을 조작하는" 데 악용될 수 있다고 해당 업체는 경고했습니다.

이 취약점은 Windsurf, Kiro, Aider 등 다른 인기 있는 AI 코딩 툴에도 영향을 미치며, 공격의 노출 정도는 사용하는 인터페이스에 따라 다릅니다.

 

코인베이스, 반발에도 불구하고 인공지능에 더욱 집중

코인베이스의 공격적인 AI 도입 전략을 감안할 때 이번 공개 시점은 특히 우려스럽다. 브라이언 암스트롱 CEO는 수요일, 현재 회사의 일일 코드 중 40%가 AI에 의해 생성되며, 2025년 10월까지 50%를 넘길 계획이라고 발표했다.

암스트롱의 지시에 대해 보안 전문가들과 업계 전문가들은 거센 비판을 쏟아냈다. 댕고 창립자 래리 류는 “이것은 보안에 민감한 어떤 사업에도 매우 심각한 위험 신호”라고 말했다. 카네기멜론대학교 컴퓨터공학과 교수 조너선 알드리치는 이 접근 방식을 “정말 미친 짓”이라고 부르며, 이번 발표 이후 코인베이스에 자신의 돈을 맡기지 않겠다고 밝혔다.

암스트롱은 이전에, 명령을 받은 후 일주일 내에 AI 코딩 툴을 도입하지 않은 엔지니어들을 해고했다고 시인했으며, 이를 “강압적인 접근 방식”이라고 설명하면서 “정말 싫어하는 사람들도 있었다”고 말했다.

 

산업계의 AI 보안 위험에 대한 우려

이번 취약점은 AI가 보안이 중요한 환경에 통합되어가는 과정에서 더 넓은 우려를 드러내고 있습니다. 델파이 컨설팅의 아슈와스 발라크리슈난은 코인베이스의 목표가 "퍼포먼스 위주이며 모호하다"고 비판하며, 회사는 AI 도입 할당량보다는 "새로운 기능 개발과 기존 버그 수정"에 집중해야 한다고 주장했습니다.

반면 암스트롱은 이러한 전략을 옹호하며, AI가 생성한 코드는 "검토되고 이해되어야 하며" 비즈니스의 모든 영역에서 사용되고 있지 않다고 강조했습니다. 코인베이스 엔지니어링팀은 AI 도입이 주로 프론트엔드 인터페이스와 "민감도가 낮은 데이터 백엔드"에 집중되어 있으며, "복잡하고 시스템에 치명적인 거래 시스템"에서는 적용 속도가 더딘 편이라고 밝혔습니다.

암호화폐 산업은 이미 2025년 상반기에 31억 달러 이상의 손실을 입었으며, AI 기반 공격이 보안 침해에서 점점 더 중요한 역할을 하고 있습니다. 코인베이스와 같은 주요 거래소들이 AI 도입을 가속화함에 따라 CopyPasta 취약점은 자동화 경쟁이 강력한 보안 조치와 균형을 이뤄야 한다는 점을 상기시키는 계기가 되고 있습니다.

댓글 0
목록
전체 1,144 / 261 페이지
공무원, 원하는 AI 마음껏 쓴다?
공무원, 원하는 AI 마음껏 쓴다?
이 사업은 공무원이 보안 걱정 없이 다양한 생성형 AI 서비스를 활용하도록 관련 플랫폼과 거대언어모델(LLM), 컴퓨팅 자원(GPU 등) 등을 제공하는 게 목적이다. 행안부는 오는 11월 일부 서비스를 시범 제공할 계획이다. 삼성SDS 컨소시엄에 포함된 AI 플랫폼 2종(삼성SDS 패브릭스, 네이버 하이퍼스튜디오)과 LLM 모델 6개를 선정해 우선 서비스한다. 공무원은 이들 가운데 원하는 플랫폼과 LLM을 활용, AI를 업무에 적용해볼 수 있다.-> 우리가 아는 흔한 LLM모델을 쓸 수 있다는 말인가?
1703
0
2025.08.20
오픈AI의 챗GPT 업데이트, 이제 좀 더 따뜻하고 친근해집니다.
오픈AI의 챗GPT 업데이트, 이제 좀 더 따뜻하고 친근해집니다. 1
오픈AI는 2025년 8월 17일부터 챗GPT의 응답 톤을 보다 따뜻하고 친근하게 조정하는 업데이트를 적용했습니다. 이로 인해 대화가 더 자연스럽고 사용자 친화적으로 느껴집니다. 기존에는 정보 위주의 다소 딱딱한 응답이 주를 이뤘다면, 이제는 감정 표현이 더 풍부해졌습니다. 예를 들어, 이전에는 "오늘 서울 날씨는 맑음, 기온 25도입니다"라는 응답이었다면, 이제는 "서울 오늘 날씨가 정말 좋아요! 맑고 기온 25도라 나들이 가기 딱 좋겠네요!"처럼 보다 생동감 있는 답변을 제공합니다. 사용자 피드백에 따르면 대화의 자연스러움이 약 20% 향상되었습니다.PS. 그래서 그런지 자꾸 반말을 하네요...
1582
0
2025.08.20
구글, 초경량 AI 젬마(Gemma) 모델 오픈소스 공개
구글, 초경량 AI 젬마(Gemma) 모델 오픈소스 공개
구글 딥마인드가 초경량 AI 모델 '젬마 3 270'(2억 7천만 매개변수)을 오픈소스로 공개했습니다. 이 모델은 휴대폰, 노트북, 웨어러블 기기 등 저전력 장치에서도 고효율로 작동하도록 설계되었습니다. 특히, 개발자 커뮤니티를 지원하기 위해 무료로 제공되는 '제미나이 CLI 깃허브 액션'과 함께, AI 코딩 협업 도구로 주목받고 있습니다. 이는 소규모 개발자나 스타트업이 AI를 쉽게 활용할 수 있게 돕는 흥미로운 움직임입니다.젬마는 간단히 사용할 수 있습니다. 사용방법은 아래와 같습니다.- 구글 딥마인드의 깃허브 저장소 또는 Hugging Face 모델 허브에서 젬마 3 270을 다운로드합니다.- Python 환경에서 pip install gemma 명령어로 설치합니다.- gemma run --model gemma-3-270m 명령어를 실행하여 모델을 사용할 수 있습니다.
1739
0
2025.08.20
영화 '리얼스틸'이 현실로? 격투기 기술을 학습한 AI로봇 복싱 대회 개최
영화 '리얼스틸'이 현실로? 격투기 기술을 학습한 AI로봇 복싱 대회 개최
2025년 5월 25일 중국 항저우에서 세계 최초의 휴머노이드 로봇 격투 대회가 열렸습니다. 중국중앙방송총국이 주최한 이 대회에는 유니트리 G1 로봇 4대가 참가했습니다.로봇들은 키 130cm, 무게 35kg으로 인간 조종사가 리모컨으로 조작했지만, 격투 동작은 전문 격투선수로부터 학습한 AI 기술로 구현되었습니다. 손 타격 1점, 발차기 3점, 쓰러지면 5점 감점이라는 규칙으로 진행되었고, 넘어진 후 8초 내에 일어나지 못하면 패배 처리되었습니다.경기에서는 로봇들이 잽, 어퍼컷, 킥 등 다양한 격투 기술을 선보였으며, "AI Strategist"라는 로봇이 우승했습니다. 전 세계에 생중계 된 이 대회는 로봇 기술의 실용화 가능성을 보여주는 중요한 이정표로 평가 받고 있으며, 중국의 로봇 산업 발전 의지를 드러낸 행사로 해석됩니다.
1525
0
2025.08.19
회원가입
아이디/비밀번호 찾기