최근 블록체인 보안업체 슬로우미스트(SlowMist)가 발표한 바에 따르면, 인공지능(AI) 기반의 코딩 도우미 툴에서 심각한 보안 취약점이 발견되었다. 이 취약점은 단순히 프로젝트 폴더를 여는 행위만으로도 개발자의 시스템을 해킹할 수 있는 위험을 내포하고 있어, 암호화폐 개발자들에게 큰 우려를 자아내고 있다.

해당 취약점은 널리 사용되는 통합 개발 환경(IDE)에서 확인되었으며, 암호화폐와 관련된 디지털 자산 및 민감한 인증 정보가 직접적으로 노출될 가능성이 크다. 슬로우미스트의 위협 인텔리전스 팀은 이미 많은 개발자들이 이로 인해 피해를 보고 있는 사례를 확인했다고 설명했다.

문제가 되는 행위는 폴더를 열거나 코드 탐색과 같은 기본적인 작업이다. 이를 통해 공격자는 별도의 사용자 동작 없이 윈도우 및 맥 운영체제에서 시스템 명령을 자동으로 실행할 수 있다. 보안 기업 히든레이어(HiddenLayer)는 이 취약점을 ‘CopyPasta 라이선스 공격’으로 명명하고, 그에 대한 기술적 분석을 발표한 바 있다.

특히 AI 코딩 도구인 커서(Cursor)를 사용하는 개발자들이 특히 취약한 상황이다. 공격자는 `LICENSE.txt`나 `README.md`와 같은 일반적인 개발 문서 내에 악성 명령을 숨겨놓고, AI가 이를 코드 작성 가이드라인으로 인식하게끔 조작할 수 있다. 이로 인해 전체 코드베이스에 악성 지시문이 통합돼 백도어 설치, 민감한 데이터 유출, 시스템 조작 등의 공격이 가능해진다.

히든레이어는 커서 외에도 윈드서프(Windsurf), 키로(Kiro), 에이더(Aider)와 같은 다른 AI 개발 도구들이 유사한 방식으로 취약하다는 점을 입증하며, 사용자 개입 없이 이러한 공격이 가능하다는 점에서 보안 전문가들 사이에서 긴장감이 높아지고 있다.

이 시점에서 코인베이스 최고경영자(CEO)인 브라이언 암스트롱의 AI 도입 정책에 대한 논란도 더욱 커지고 있다. 암스트롱 CEO는 10월까지 AI 기반 코드 비중을 50%로 늘리겠다고 운영 방침을 밝히며, AI 도구를 채택하지 않은 엔지니어들을 해고하겠다고 선언했다. 이에 대해 보안 전문가들은 큰 우려를 표하면서도 거세게 비판하고 있다. 보안 스타트업 당고(Dango)의 창립자인 래리 류는 이를 ‘보안 민감 조직의 경고등’으로 간주했고, 카네기멜론대학의 조너선 올드리치 교수는 코인베이스에 자산을 맡기지 않겠다고 언급했다.

한편, 블록체인 기반의 해킹 공격은 개별 해커들의 손을 넘어 국가 차원으로 확대되고 있다. 특히 북한 해커들은 스마트계약 내에 악성코드를 삽입하여 공격의 강도를 높이고 있다. 이에 대한 대응 기업들은 북한의 추정되는 해커 조직 '촐리마'가 비버테일(BeaverTail) 및 오터쿠키(OtterCookie) 악성코드를 결합한 자바스크립트 모듈을 사용해 개발자를 대상으로 위장 면접을 통해 악성코드를 유포하는 방식을 사용한다고 밝혔다.

결론적으로 AI 기술의 발전이 긍정적인 요소와 동시에 심각한 보안 위협을 동반하고 있음은 분명하다. AI 코딩 도구의 채택이 증가하고 있는 가운데, 이러한 도구를 통한 공격 방식도 진화하고 있는 결과를 초래하고 있다. 따라서, 창의적인 해킹 기술을 사전에 방지하려면 보안이 필수라는 인식이 더욱 중요해지며, 투자자들 역시 더 높은 리스크 관리 능력을 요구받고 있다.