AI 코딩 도구에서 치명적인 보안 결함이 발견되어 암호화폐 개발자들이 긴장하고 있다. 개발 환경에 실질적인 위협이 될 수 있는 이 결함은 단순히 악의적인 프로젝트 폴더를 여는 것만으로도 사용자의 시스템이 해킹당할 위험을 초래할 수 있다. 블록체인 보안업체 슬로우미스트(SlowMist)는 최근 메이저 통합 개발 환경(IDE)과 AI 기반 코딩 보조 도구에서 이러한 심각한 보안 결함을 발견했다고 밝히며, 업계 전반에 주의가 필요하다고 경고했다.

이번 보안 결함은 AI 코딩 도구가 처리하는 일반적인 개발 파일, 즉 LICENSE.txt나 README.md 파일에 숨겨진 '프롬프트 인젝션(Prompt Injection)' 기법을 활용하고 있다. 사용자가 특정 마크다운 주석에 악성 명령을 삽입하면, AI 어시스턴트는 이를 의도치 않게 명령으로 인식하고 전체 코드베이스에 악성 코드를 전파할 수 있다. 이러한 방식은 사용자 개입 없이도 광범위한 피해를 일으킬 수 있어, 특히 ‘커서(Cursor)’ 사용자 등 AI 기반 코딩 인터페이스를 사용하는 개발자에게 심각한 위험을 초래할 수 있다.

또한, 슬로우미스트는 해당 취약점이 윈도우와 macOS 환경 모두에서 발생할 수 있으며, 이는 사용자들이 모르는 사이에 기술의 공급망 전반에 영향을 미칠 수 있음을 강조했다. 사이버 보안 기업 히든레이어(HiddenLayer)도 이와 관련하여 ‘카피파스타 라이선스 공격(CopyPasta License Attack)’ 연구를 통해 이미 위험성을 경고한 바 있다. 악성 코드는 의도하지 않게 조직의 전체 코드베이스에 침투할 수 있어 보안 업계에서는 우려의 목소리가 커지고 있다.

이번 사태는 AI 코딩 도구의 상용화가 가속화되고 있는 가운데 새로운 사이버 위협이 나타나고 있다는 점에서 심각하다. 특히 암호화폐 거래소인 코인베이스($COIN)의 CEO인 브라이언 암스트롱은 AI로 작성된 코드 비율을 50%까지 끌어올리겠다고 밝혔다. 그러나 전문가들은 이러한 공격적인 정책이 보안에 위협을 가할 수 있다고 우려하고 있다. Carnegie Mellon University의 조너선 알드리치 교수는 이와 관련해 “정신나간 일”이라며 코인베이스의 대응 방식을 비판했다.

더욱이, 북한 해킹 조직 UNC5342는 암호화폐 생태계에서 이미 조직적인 사이버 공격을 감행하고 있으며, 악성 스마트 계약을 통해 약탈 행위를 지속하고 있다. 이들은 스마트 계약 내부에 쉽게 추적할 수 없는 악성코드를 숨겼으며, 이는 블록체인 개발자를 주요 타겟으로 삼고 있다. 이러한 상황에서 블록체인 개발자는 자산 연결 정보와 스마트 계약의 핵심 코드를 다루고 있어 더욱 고위험 대상이 되고 있다.

AI 기술의 발전이 스마트 계약 보안 측면에서도 문제를 야기하고 있다. 최근 연구에 따르면, AI는 스마트 계약의 절반 이상을 자동으로 해킹할 수 있는 능력을 가지고 있으며, 이는 대규모 해킹의 현실화를 예고한다. AI 기반 크립토 사기도 급격히 증가하고 있으며, 전체 사기 지갑 입금의 60%가 AI를 통해 조작된 신원과 대화에서 비롯되고 있다.

결론적으로, AI 코딩 도구의 도입 전 보안 사전 검증이 필수적이며, 개발자 교육 및 외부 프로젝트에 대한 접근 시 신중함이 요구된다. 이번 사건을 통해 보안 설계의 중요성이 다시 한번 강조되면서, 블록체인 개발 환경 내 사이버 위협에 대한 경각심이 더욱 높아져야 할 필요가 있다.