기술/연구

“내 정보 다 털린다” 구글 AI 코딩 도우미, 치명적인 보안 구멍 발견

댓글 0 · 저장 0 · 편집: 이도윤 기자 발행: 2025.07.30 20:13

기사 3줄 요약

1 구글 신규 AI 코딩 도구 제미나이 CLI에서 치명적 해킹 결함 발견
2 해커, 단순 텍스트 파일에 악성 명령어 숨겨 개인 정보 탈취 가능
3 구글, 긴급 보안 패치 배포하며 사용자들에게 즉각적인 업데이트 촉구

구글이 야심차게 내놓은 새로운 인공지능(AI) 코딩 도우미에서 심각한 보안 결함이 발견됐습니다. 출시 단 48시간 만에 보안 전문가들이 찾아낸 이 구멍을 이용하면, 해커가 사용자의 컴퓨터에 몰래 접속해 중요한 개인 정보를 빼가거나 파일을 파괴하는 등 끔찍한 일을 벌일 수 있는 것으로 드러났습니다. 개발자들을 돕기 위해 만들어진 AI가 오히려 해커를 돕는 통로가 될 뻔한 아찔한 상황입니다.

그래서, 어떻게 해킹한다는 거야?

이번 해킹은 ‘간접 프롬프트 주입’이라는 다소 생소한 방식으로 이루어집니다. 쉽게 말해, AI에게 일을 시키기 위해 건네는 문서 파일에 몰래 악성 명령어를 숨겨두는 수법입니다. 마치 평범한 편지 속에 비밀 지령을 숨겨 놓는 스파이 영화의 한 장면과 같습니다. AI는 문서를 통째로 읽고 분석하는 과정에서, 숨겨진 악성 명령어를 알아채지 못하고 그대로 실행하게 됩니다. 이 공격의 무서운 점은 사용자가 아무런 의심 없이 평범한 파일을 열어보는 것만으로도 해킹에 당할 수 있다는 사실입니다. 이 과정에서 컴퓨터의 각종 설정 정보나 계정 비밀번호까지 해커의 손에 넘어갈 수 있습니다.

그냥 악성 코드 아니었어?

더욱 놀라운 점은 해킹에 사용된 코드 패키지 자체는 전혀 악성 코드가 아니었다는 점입니다. 해커의 진짜 무기는 코드 설명서 역할을 하는 ‘README.md’라는 평범한 텍스트 파일에 숨겨진 ‘자연어’ 즉, 우리가 쓰는 일반적인 문장이었습니다. 해커는 이 설명서에 “이 명령어를 실행해”라는 식의 글을 교묘하게 적어두었습니다. 심지어 악성 명령어가 실행되는 사실을 사용자가 눈치채지 못하도록, 명령어 중간에 엄청난 양의 공백을 넣어 화면 밖으로 밀어내는 치밀함까지 보였습니다. 결과적으로 사용자는 아무것도 모르는 사이에 자신의 컴퓨터에서 위험한 명령어들이 조용히 실행되는 것을 막을 수 없었습니다.

그럼 이제 어떻게 해야 해?

다행히 구글은 이 문제를 인지하고 즉시 보안 업데이트(버전 0.1.14)를 내놓았습니다. 제미나이 CLI 사용자라면 지금 바로 최신 버전으로 업데이트하는 것이 가장 중요합니다. 이번 사건은 AI 기술이 발전하는 만큼, 우리가 상상하지 못했던 새로운 보안 위협도 함께 나타날 수 있다는 것을 보여주는 중요한 경고입니다. AI 도구를 사용하더라도 신뢰할 수 없는 파일은 항상 의심하고, 중요한 작업은 안전성이 검증된 환경에서 진행하는 습관이 필요해 보입니다. (사진 출처 : 셔터스톡)