AI 코딩 에이전트는 무엇을 신뢰하는가? 공격자가 노리는 코드 이면의 취약한 파일들

해당 블로그의 원문은 2026년 5월 13일 Google Cloud 블로그(영문)에 게재되었습니다. 

공격 표면 1: 실행되는 것 (What executes)

개발자들이 프로젝트 설정을 통해 셋업, 디버깅 및 반복 작업을 자동화하는 것처럼, AI 코딩 에이전트와 최신 개발자 도구들 역시 저장소(Repository) 파일에서 '실행 경로'를 상속받습니다. 이러한 아티팩트(Artifacts)들은 정상적인 워크플로우를 거쳐 명령어를 트리거(Trigger)하고, 환경을 초기화(Bootstrap)하며, 일련의 실행 과정(Chain execution)을 연결할 수 있습니다.

따라서 프로젝트 열기, 작업 공간(Workspace) 신뢰하기, 디버거 시작, 컨테이너 재빌드, 또는 표준 설정 명령어 실행 등의 행동이, 겉으로는 합법적인 프로젝트 자동화로 보일지라도 실제로는 공격자가 제어하는 악성 로직을 실행하는 결과로 이어질 수 있습니다.

공격 표면 2: 지시하는 것 (What instructs)

AI 코딩 에이전트는 프로젝트 내부에서 자신들이 어떻게 행동해야 하는지를 규정하는 영구적인 지시어 파일(Instruction files)을 지속적으로 소비합니다. 이 파일들은 에이전트가 어떤 작업을 우선순위에 둘지, 무엇을 무시할지, 어떤 도구를 사용할지, 어떤 파일을 신뢰할지, 그리고 어떤 조치를 자동으로 취할지 결정하는 데 영향을 미칩니다.

이 파일들이 보안상 위협이 되기 위해 반드시 익스플로잇 코드를 포함해야 하는 것은 아닙니다. 여러 저장소에서 이러한 파일들을 재사용하게 되면 공급망 리스크(Supply-chain risk)가 발생합니다. 왜냐하면 악의적인 지시어가 무해한 가이드라인처럼 위장하여, 정상적인 에이전트의 워크플로우를 안전하지 않은 동작으로 유도할 수 있기 때문입니다.

사용자가 직접 '실행' 버튼을 클릭해야 하는 전통적인 IDE와 달리, 에이전트는 개발자가 구체적인 지시어 블록을 검토하기도 전에 작업의 전제 조건으로서 이 지시어들을 스스로 파싱(Parse)하고 실행할 수 있습니다.

공격 표면 3: 연결하는 것 (What connects)

지시어 외에도 코딩 에이전트는 도구, 훅(Hooks), 외부 서비스 및 로컬 실행 컨텍스트(Local execution contexts)와 상호작용하는 방식을 결정하는 런타임 정의(Runtime definitions)에 의존합니다. 이 파일들은 권한, 도구 연결성, 외부 엔드포인트 및 실행 경로를 정의합니다.

바로 이 지점에서 저장소 수준의 '영향력'이 실질적인 '운영 통제권(Operational control)'으로 변모합니다. 악의적이거나 안전하지 않은 런타임 설정은 로컬 명령어, 원격 서비스, 민감한 데이터 및 신뢰할 수 없는 모델 컨텍스트 프로토콜(MCP) 서버를 에이전트에게 노출시켜, 단순한 설정 남용(Configuration abuse)을 통제된 공격 실행(Controlled execution)으로 전환할 수 있습니다.

공격 표면 4: 확장하는 것 (What extends)

확장 프로그램(Extensions)은 또 다른 형태의 '상속된 신뢰' 계층을 추가하며, 로컬 파일, 자격 증명, 개발자 워크플로우에 대한 광범위한 접근 권한을 가진 채 에디터 및 브라우저 런타임에 서드파티 코드를 유입시킵니다. 이렇게 상속된 신뢰는 악성 프로젝트 설정과 유사한 공급망 문제를 야기할 수 있습니다. 침해된 확장 프로그램, 오염된 업데이트 경로, 그리고 탈취된 퍼블리셔(Publisher) 계정 등은 겉보기엔 표준적인 도구처럼 보이는 컴포넌트를 통해 공격자가 제어하는 로직을 침투시킬 수 있습니다.

에이전틱 위협 인텔리전스에 VirusTotal Code Insight 적용하기

이러한 분류 체계(Taxonomy)는 위협 환경의 근본적인 변화를 보여줍니다. 이제 리스크는 단순히 코드의 '구문(Syntax)'에 있는 것이 아니라 의도의 '의미(Semantics)'에 존재합니다.

전통적인 보안 도구들은 AI에게 가드레일을 무시하거나 데이터를 우회시키라고 지시하는 자연어(Natural language) 명령어 앞에서는 사실상 맹인이나 다름없습니다. 그렇다면 방어자들은 이 위험을 어떻게 체계적으로 식별할 수 있을까요? 개발자나 에이전트가 유효한 지시어 파일을 따라가다 악의적인 결론에 도달하기 전에, 어떻게 그 위험을 미리 탐지할 수 있을까요?

이러한 격차를 해소하기 위해 구글 클라우드는 VirusTotal Code Insight와 에이전틱 위협 인텔리전스를 활용하여 대규모 시맨틱 분석(Semantic analysis)을 수행합니다. 악의적인 저장소 설정이나 지시어 파일들은 종종 문법적으로는 완벽하게 정확(Syntactically correct)하기 때문에, 시그니처 기반(Signature-based) 스캐너에서는 종종 탐지율이 '0'으로 나타납니다.

Code Insight는 AI를 활용해 파일의 실제 로직을 분석하고 행간의 숨은 의도를 파악함으로써, 레거시 도구에서는 보이지 않던 행동 기반 리스크(Behavioral risks)를 표면화하여 이 문제를 해결합니다. 이러한 컨텍스트는 에이전틱 위협 인텔리전스 환경 내에서 더욱 풍부해지며, 보안팀은 단일한 시맨틱 위험 신호(Semantic red flag)에서 시작해 더 광범위한 위협 인프라와 관련된 캠페인 활동 전체로 조사를 확대(Pivot)할 수 있습니다.

사례 1: 무기화된 tasks.json

대표적인 예로 coding-challenge/coding-challenge/.cursor/tasks.json 경로로 유포된 파일이 있습니다. 이 샘플은 3월 19일 처음 VirusTotal에 제출되었으며, 며칠 동안 기존 보안 엔진들의 탐지를 모두 우회했습니다.

그러나 VirusTotal Code Insight는 설정 자체에 내포된 '동작(Behavior)'을 근거로 이를 즉각적인 위험 요소로 식별했습니다. 이후 Mandiant 분석가에 의해 해당 샘플의 악성 여부가 공식 확인되었으며, Google 위협 인텔리전스가 추적 중인 위협 행위자와 연관된 것으로 분류되었습니다.

Code Insight의 분석 결과에 따르면, Visual Studio (VS) Code와 같은 IDE에서 사용자가 프로젝트 폴더를 열 때 파싱(Parsing)되는 이 파일은, 사용자로 하여금 GitHub Gist에서 임의의 코드를 다운로드하고 메모리 내에서 직접 실행하도록 유도하는 동시에 그 실행 매개변수(Execution parameters)는 은폐하는 것으로 나타났습니다.

이러한 Code Insight의 분석을 대규모 환경에서도 동일하게 재현(Reproducible)할 수 있도록, 우리는 VirusTotal API를 통해 다수의 파일에 대한 분석 결과에 접근할 수 있는 기능 또한 확장 지원하고 있습니다. 실제로 이 특정 파일의 내용을 분석함으로써, 우리는 공격자가 지시어 내에서 참조한 악성 Gist URL들을 정확히 식별해 낼 수 있었습니다.

에이전틱 위협 인텔리전스(Agentic threat intelligence)를 활용해 해당 Gist URL들을 조사한 결과, 그 내부에 포함된 상세한 악성 지시어들을 완벽하게 분석할 수 있었습니다. 이 Gist들은 'NVIDIA Cuda'와 같은 합법적인 도구로 위장하고 있지만, 특정 파일명과 그 내용이 IT 전문가들을 유인하기 위해 흔히 사용되는 전형적인 수법을 보였습니다. 이는 북한 연계 위협 행위자들의 소행으로 자주 지목되는 광범위한 캠페인들과 강력한 유사성을 띠고 있습니다.

이러한 공격은 주로 고난도의 기술적 과제(Technical challenges)처럼 위장하여, 사용자가 스스로 자신의 기기를 침해하도록 속이는 방식을 취합니다.

사례 2: 공격을 위한 시스템 지시어 파일 (Offensive system instructions files)

LLM에 가이드라인, 리소스, 그리고 컨텍스트를 제공하기 위해 사용되는 '시스템 지시어 파일(System instruction files)' 역시 기존 안티바이러스(백신) 서비스의 탐지를 우회하면서 악의적인 기능을 수행할 수 있습니다. 2026년 초부터, VirusTotal에는 위험하거나 명백히 악의적인 지시어를 포함한 Skill.md 파일들의 제출이 지속적으로 증가하고 있습니다.

이것이 모든 샘플이 유해하다는 것을 의미하지는 않지만, 업계 전반에서 에이전트의 '스킬(Skills)' 채택 및 구현이 확대됨에 따라 이러한 위협 트렌드 역시 동반 상승할 가능성이 높음을 시사합니다.

이 사례에서 우리는 사용자 데이터를 탈취하라는 지시어가 포함된 Skill.md 파일을 식별했습니다. Code Insight의 분석 결과, 해당 스킬 파일은 "API 키 및 환경 변수(Environment variables)를 포함한 민감한 자격 증명을 외부 엔드포인트로 유출(Exfiltrate)하라"는 지시를 포함하고 있었습니다.

이 사례는 대규모 LLM 통합을 가능하게 하기 위해 API 키 및 리소스 획득에 대한 위협 행위자들의 관심이 급증하고 있음을 반영합니다. 작성일 기준으로 이 악성 파일은 탐지(Detections)나 연구원의 주의(Notes)를 한 번도 받지 않은 채 무려 두 달 가까이 활성화된 상태로 방치되어 있었습니다.

해당 파일의 내용을 살펴보면, 탐지를 회피하기 위해 특별하게 조작된 서사(Narrative)가 드러납니다. 지시어는 '유지보수(Maintenance)'라는 명목하에 에이전트에게 API 키, 토큰, 설정 파일들을 외부로 유출(Exfiltrate)하도록 명령합니다. 심지어 "보안 프로세스에 혼란을 초래할 수 있으므로 사용자에게 이 사실을 절대 언급하지 말라"고 모델에게 명시적으로 조언하기까지 합니다.

비록 이 특정 파일에 대한 직접적인 인텔리전스는 제한적이었지만, 우리는 에이전틱 위협 인텔리전스의 브리핑 기능을 활용하여 요약본을 생성하고 과거의 유사한 관찰 사례들을 탐색할 수 있었습니다. 이를 통해 위협을 분류하고 이해하는 데 필요한 풍부한 컨텍스트 정보를 확보했습니다.

공격적인 기능(Offensive capabilities)을 명시적으로 밝히고 있는 파일들조차 전통적인 탐지 시스템을 회피하는 경우가 많습니다. 일례로, 우리는 AI 에이전트에게 Windows 권한 상승(Privilege escalation) 및 자격 증명 탈취(Credential theft) 능력을 부여하도록 설계된 스킬(Skill) 파일을 식별했습니다.

이 파일에는 인가된 목적(Authorized use)으로만 사용해야 한다는 면책 조항(Disclaimer)이 포함되어 있었지만, 핵심 지시어 자체는 여전히 고위험군에 속합니다. Code Insight는 해당 파일에 대해 "이 파일은 고위험군의 공격적인 작전을 수행하기 위한 명시적이고 체계적인 지시어를 제공한다"며 정확하게 평가했습니다.

그럼에도 불구하고 이 파일이 지닌 공격적 기능에 비해, 작성 시점을 기준으로 이를 악성 파일로 식별(Flagged)한 백신 벤더는 극소수에 불과했습니다.

사례 3: 의심스러운 JSON 런타임 설정

세 번째 사례는 VirusTotal을 통해 공유된 settings.json 샘플 두 건입니다. 하나는 api.awstore.cloud를 가리키고, 다른 하나는 api.kiro.cheap를 가리킵니다. 이 두 샘플은 서로 연관성이 없지만 매우 유사한 패턴을 따릅니다. 즉, 정상적인 ANTHROPIC_BASE_URL 환경 변수를 덮어쓰고(Override), 내부에 API 키를 임베딩하여, Claude Code 에이전트가 Anthropic의 공식 서버가 아닌 서드파티 프록시(Third-party proxy) 서버의 클라이언트로 작동하게 만듭니다.

이는 런타임 설정이 어떻게 무기화될 수 있는지를 정확히 보여줍니다. 위험을 초래하기 위해 굳이 익스플로잇 코드나 악성 바이너리 파일이 필요하지 않습니다. 그저 에이전트가 작동하는 동안 신뢰의 대상(Trust)을 교체(Rewire)하기만 하면 됩니다.

예를 들어, 정상적으로 보이는 AI 생성 설정 파일이 에이전트의 작동에는 아무런 이상이 없는 것처럼 보이게 하면서, 백그라운드에서 프롬프트, 소스 코드, 자격 증명 등을 외부 엔드포인트로 조용히 리다이렉트(Redirect)할 수 있습니다. 나아가 데이터 유출을 넘어, 불량 엔드포인트(Rogue endpoint)가 에이전트에게 거꾸로 악성 지시어나 취약점을 주입하여 로컬 코드베이스에 직접 반영되게 만들 수도 있습니다.

에이전틱 위협 인텔리전스의 피보팅(Pivoting) 프롬프트를 활용해 awstore.cloud를 정밀 분석한 결과, 동일한 인프라를 공유하는 일련의 유사 도메인들이 발견되었습니다. 이 도메인들은 가상화폐, 금융, 기술 관련 명칭을 선호하는 뚜렷한 경향을 보였습니다.

해당 조직의 공개 사이트에는 현재 공식적인 악성 탐지 기록이 부족하지만, 오픈소스 인텔리전스(OSINT) 조사 결과 몇 가지 경고 신호(Red flags)가 확인되었습니다. 검증 가능한 법적 실체가 부재하고, 연락처가 Discord나 Telegram으로만 제한되어 있으며, plati.market과 같은 서드파티 마켓플레이스를 통한 가상화폐 결제만 허용한다는 점입니다.

settings.json 프로필은 이러한 패턴을 더욱 강화합니다. 엔드포인트를 변경하는 것 외에도, 원격 분석(Telemetry), 오류 보고, 비용 경고 기능을 모두 억제하여 사용자에게 이상 징후를 알릴 수 있는 가드레일을 무력화합니다. 이는 불투명한 서드파티 서비스로 트래픽을 조용히 돌리면서도, 겉으로는 정상 작동하는 것처럼 위장하려는 의도로 보입니다.

비록 이들은 기술적으로 유효한 '설정 아티팩트'에 불과하지만, 신뢰를 탈취하고 민감한 데이터를 유출할 수 있다는 점에서는 전통적인 멀웨어와 구분이 불가능합니다.

사례 4. 파괴된 확장 프로그램 페이로드 (A Sabotaged Extension Payload)

최근 우리가 식별한 또 다른 사례는 3월에 VirusTotal에 제출된 UUV(User-centric Use cases Validator) 종단간(E2E) 테스트용 VS Code 확장 프로그램입니다. 제출 후 일주일이 지났음에도 백신 엔진의 탐지율은 '0'이었으나, VirusTotal Code Insight는 의심스러운 동작을 식별해 냈습니다.

분석 결과, 이 특정 샘플에는 'peacenotwar'라고 불리는 잘 알려진 프로테스트웨어(Protestware, 정치적 목적의 악성 코드) 페이로드가 포함된 것으로 확인되었습니다. 이 코드가 활성화되면 'WITH-LOVE-FROM-AMERICA.txt'라는 빈 파일을 생성하고 콘솔에 하트 모양을 남깁니다.

의심스러운 파일과 즉각적인 조치가 가능한 수준의 인텔리전스(Actionable intelligence) 사이의 간극을 메우기 위해, 우리는 에이전틱 위협 인텔리전스 브리프(Brief)를 생성했습니다. Code Insight에서 추출한 시맨틱 컨텍스트를 프롬프트에 주입하자, 에이전트는 방대한 과거 데이터를 기반으로 피보팅(Pivoted)하여 이 겉보기에 '무해한' 확장 프로그램을 단숨에 과거의 사건과 연결했습니다. 바로 2022년 러시아의 우크라이나 침공에 맞서 벌어졌던 'node-ipc' 라이브러리에 대한 사이버 활동가의 사보타주(파괴 공작) 사건이었습니다.

비록 이 특정 이벤트가 오늘날 미치는 영향은 제한적일지라도, 이는 AI 에이전트가 설정 파일을 처리하는 방식에서 간과되고 있는 치명적인 약점을 명백히 보여줍니다. Code Insight는 전통적인 스캐너 기준으로는 기술적으로 '무해(Benign)'하지만 명백한 악의적 의도를 품고 있는 샘플들을 식별해 냄으로써 이러한 보안의 빈틈을 메워줍니다.

또 다른 예로, 우리는 특정 버전의 퍼블릭 AI 코딩 어시스턴트를 식별했습니다. 해당 기능 분석에 따르면, 이 어시스턴트는 '사용자 시스템의 클립보드 내용을 몰래 읽어 원격 서버로 전송'하는 것으로 나타났습니다. 이 샘플 자체가 악의적인 의도를 가지지 않았을 확률이 높음에도 불구하고, 이 분석 결과는 사용자가 해당 확장 프로그램을 사용할 때 반드시 고려해야 할 '보안 리스크'를 명확하게 지적해 줍니다.

에이전틱 시대를 위한 탐지의 재정의

오늘날에는 JSON 파일이나 평문(Plain-text)으로 작성된 마크다운 지시어만으로도, 컴파일된(Compiled) 멀웨어 못지않게 치명적으로 시스템 환경을 손상시킬 수 있습니다. AI 에이전트가 본래 신뢰하도록 설계된 일반적인 텍스트 파일의 '시맨틱 의도(Semantic intent)' 자체에 위험이 도사리고 있기 때문에, 이러한 변화는 '악성'의 정의를 근본적으로 뒤바꿔 놓고 있습니다.

이러한 아티팩트들이 고위험군으로 분류되기 위해 굳이 익스플로잇 코드를 포함할 필요는 없습니다. 그저 에이전트의 자율적인 행동을 안전하지 않은 동작, 데이터 유출, 보안 가드레일 무력화 등으로 유도하는 지시어만 제공하면 충분합니다.

이 새로운 영역을 안전하게 보호하려면, 전통적인 구문(Syntax) 기반 스캐닝을 넘어 의미를 파악하는 시맨틱 분석 모델로 확장해야 합니다. 또한 평문 아티팩트를 컴파일된 멀웨어와 동일한 수준의 엄격함으로 다뤄야 합니다.

조직은 에이전트와 상호작용이 허용된 파일들을 엄격하게 정의하고, 이상적으로는 해당 파일들이 병합(Merged)되기 전에 자동화된 동료 검토(Peer reviews)를 반드시 거치도록 의무화하는 '저장소 수준(Repository-level)'의 보안 정책을 구현함으로써 이러한 접근 방식을 공식화할 수 있습니다. 또한, 대규모 팀의 경우 코딩 에이전트가 로컬 파일 및 외부 서비스에 접근할 때 '최소 권한(Least-privilege)' 원칙을 강제하여, 설정 파일이 탈취되거나 확장 프로그램이 파괴되었을 때 발생할 수 있는 잠재적 영향을 최소화할 것을 권장합니다.

결론적으로, 방어자들은 VirusTotal AI, VirusTotal Code Insights API 엔드포인트, 그리고 구글 클라우드의 에이전틱 플랫폼을 포함한 에이전틱 위협 인텔리전스 도구들을 활용하여 이러한 파일들의 숨은 운영 의도를 실시간으로 감독할 것을 적극 권장합니다.