링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

테크 암호화폐 인공지능

AI 코딩툴 취약점에 암호화폐 개발자들 비상…코드 열기만 해도 해킹 위험

서도윤 기자

2026.01.08 (목) 23:14

AI 코딩툴에 치명적 보안 취약점이 발견되며 암호화폐 개발자들의 자산과 인증 정보 유출 위험이 커졌다. 코인베이스의 전사적 AI 도입, 국가지원 해킹, 제로데이 공격 등이 맞물리며 시장 전반의 보안 경각심이 높아지고 있다.

AI 코딩툴 취약점에 암호화폐 개발자들 비상…코드 열기만 해도 해킹 위험 / TokenPost.ai

AI 코딩 툴의 치명적 취약점…“개발자의 암호화폐, 열자마자 위험 노출”

블록체인 보안업체 슬로우미스트(SlowMist)가 인공지능(AI) 기반 코딩 도우미 툴에서 개발자 시스템을 즉각적으로 해킹할 수 있는 치명적인 취약점이 발견됐다며 긴급 경고를 발령했다. 단지 프로젝트 폴더를 여는 동작만으로도 보안이 뚫릴 수 있어 블록체인 개발자들에게 심각한 위협이 되고 있다.

이번 취약점은 일반적으로 널리 사용되는 통합 개발 환경(IDE)에 존재하며, 특히 암호화폐 개발자들이 저장하고 있는 디지털 자산 및 민감한 인증 정보가 직접적으로 노출될 수 있어 파장이 크다. 슬로우미스트 위협 인텔리전스 팀에 따르면, 실제 다수 개발자들이 이미 피해를 입은 사례도 확인됐다.

문제가 되는 행위는 폴더 열기나 코드 탐색 같은 일상적인 작업이다. 이에 상응하는 공격은 별도의 사용자 동작 없이 윈도우와 맥 운영체제 모두에서 시스템 명령을 자동으로 실행한다. 보안 기업 히든레이어(HiddenLayer)는 지난 9월 이 취약점을 ‘CopyPasta 라이선스 공격’으로 명명하고 처음으로 기술적 분석을 발표한 바 있다.

또한 AI 코딩 도구인 커서(Cursor) 사용자들이 특히 취약하다는 점도 주목된다. 이 공격은 `LICENSE.txt`나 `README.md`처럼 일반적인 개발 문서 내부에 악성 명령을 숨겨두고, AI가 이를 코드 작성 가이드로 인식하게 만든다. 이렇게 AI 보조 도구에 통합된 악성 지시문은 전체 코드베이스에 걸쳐 백도어 설치, 민감한 정보 유출, 시스템 조작까지 가능하게 만든다.

히든레이어는 커서를 비롯해 윈드서프(Windsurf), 키로(Kiro), 에이더(Aider) 등 여러 AI 개발 툴이 유사한 방식으로 뚫릴 수 있다는 점을 시연했다. 사용자 개입이 거의 필요 없다는 점 때문에 보안 전문가들 사이에서도 경각심이 커지고 있다.

AI 전면 도입한 코인베이스…“보안 불감증” 비판도

이같은 경고는 코인베이스 최고경영자(CEO) 브라이언 암스트롱이 AI 코딩 도입을 전사적으로 밀어붙이는 가운데 제기돼 논란이 더 커지고 있다. 암스트롱 CEO는 AI 기반 코드 비중을 10월까지 전체의 50%로 끌어올리겠다고 밝히며, 도입 일주일 내 AI 도구를 채택하지 않은 엔지니어들을 해고했다.

이같은 결정에 대해 보안 전문가들이 잇따라 우려를 표했다. 보안 스타트업 당고(Dango)의 창업자 래리 류는 이를 ‘보안 민감 조직의 경고등’이라고 비판했으며, 카네기멜론대학 조너선 올드리치 교수는 “이건 미친 짓”이라며 “코인베이스에 자산을 맡기지 않겠다”고 언급했다.

국가 해커도 공격 가세…스마트계약 통한 악성코드 배포

블록체인 기반 공격은 개별 해커를 넘어서 국가 단위 조직으로까지 확대되고 있다. 특히 북한 해커들이 스마트계약 내에 악성코드를 삽입해 퍼뜨리는 방식으로 공격 강도를 높이고 있는 것으로 드러났다.

침해 대응 기업들에 따르면, 북한의 추정되는 첩보조직 ‘촐리마’는 비버테일(BeaverTail)과 오터쿠키(OtterCookie) 악성코드를 결합한 자바스크립트 모듈을 만들어 암호화폐 개발자 채용을 빙자한 위장 면접 방식으로 유포했다. 개발자들을 대상으로 한 이런 공격은 종종 체스 앱이나 패키지를 위장한 NPM 모듈을 통해 이뤄진다.

구글은 UNC5342로 지목된 북한 해커 그룹이 BNB 스마트체인과 이더리움 체인에서 스마트계약을 악용해 제이드스노우(JADESNOW) 악성코드와 인비저블페렛(INVISIBLEFERRET) 백도어를 심은 사실을 포착했다. 이는 공공 블록체인 상에서 수수료 없이 읽기 전용 함수 호출을 통해 페이로드를 저장, 삭제가 거의 불가능한 분산형 지휘·통제(C2) 인프라를 구축하는 방식이다.

특히 지난 4월에는 이들 조직이 미국 기업으로 위장해 합법적으로 법인을 설립하고, 그 법인을 통해 ‘감염된 기술과제’ 형식으로 개발자들에게 악성코드를 전달하기도 했다. 사우스캐롤라이나와 뉴욕주 버펄로에서 각각 등록된 블록노바스(Blocknovas)와 소프트글라이드(Softglide)가 그 예다.

AI도 제로데이 공격 찾아내…수익성까지 계산 가능

AI 기술의 양면성도 드러나고 있다. 최근 AI 모델들이 실제 가동 중인 스마트계약의 취약점을 찾아내고, 해킹 이익까지 산출해내는 정밀한 역량을 갖춘 것으로 나타났다. AI 연구기업 안트로픽은 지난해 말 실시한 실험에서, AI 모델이 전체 405개의 과거 취약 계약 중 절반에 대해 공격 성공을 시뮬레이션해 약 5,501억 원 규모의 가상 수익을 도출했다.

특히 Claude Opus 4.5와 GPT-5는 지식 기준일 이후 배포된 스마트계약 19개를 분석해 총 66억 원 상당의 실질적 취약점을 발견했으며, 현재도 운영 중인 바이낸스스마트체인 스마트계약에서 540만 원 규모의 제로데이 취약점을 찾아내는 데 걸린 비용은 505만 원에 불과했다.

보고서는 시간이 지날수록 AI가 발견해내는 취약점당 수익은 약 1.3개월마다 두 배 가까이 증가하며, AI 모델 성능이 개선될수록 동일한 예산으로 더 많은 공격이 가능해진다고 경고했다.

AI 악용한 크립토 사기…1년 새 5배 증가

AI 기반 크립토 사기도 빠르게 확산되고 있다. 체인애뷰즈(Chainabuse) 자료에 따르면 2024년 5월부터 2025년 4월까지 AI 기반 크립토 사기는 전년 대비 456% 증가했다. 현재 사기 지갑으로 유입되는 자금의 60%는 AI로 생성된 신원이나 음성 복제, 챗봇 사용을 통한 정교한 기만에 기반하고 있다.

이처럼 기술이 진화할수록 보안 위협은 더욱 직접적이고 정교해지고 있다. 실제로 블록체인 보안기업 팩쉴드에 따르면, 지난해 12월 암호화폐 해킹 및 사이버 공격에 따른 피해액은 7,600만 달러(약 1,105억 원)로 11월의 1억 9,420만 달러(약 2,823억 원) 대비 60% 감소했지만, 위험성 자체는 줄지 않았다.

AI 기술이 암호화폐 산업에 도입되면서 생산성과 효율성이 높아지는 한편, 해커들에게도 강력한 무기로 작용하고 있다. 보안과 기술 진보 간 균형을 지키는 전략이 그 어느 때보다 절실한 시점이다.

💡 “보안은 선택이 아닌 생존… AI 시대, 투자자의 리스크 관리 역량이 갈린다”

AI와 블록체인의 융합이 가속화되면서, 기술은 양날의 검이 되고 있습니다. AI 코딩 도우미로 효율성과 생산성이 급상승하는 한편, 이 툴을 악용한 공격자들은 개발자의 시스템을 단 한 번의 ‘폴더 열기’로 침투하고, 스마트계약 취약점을 손쉽게 찾아내 수억 원을 탈취할 수 있습니다.

특히 NFT·DeFi·스마트계약 프로젝트에 참여하거나 투자하는 사용자라면, 이러한 공격의 최종 피해자가 될 수 있습니다. 이제 ‘개발자만 알면 된다’는 말은 통하지 않습니다. AI가 가져온 사이버 위협의 지형 변화 속에서, 투자자에게도 기술적 이해와 리스크 평가 능력은 안전한 투자의 기본기가 됐습니다.

✅ 지금, 시장과 기술을 모두 읽는 투자자를 위한 정석. 토큰포스트 아카데미에서 시작하세요.

2단계: The Analyst (분석가) 과정에서는 스마트계약과 프로젝트 구조를 직접 분석하며, 중앙화 리스크나 덤핑 가능성을 사전에 파악할 수 있는 투자자의 눈을 길러줍니다.

5단계: The DeFi User 과정에서는 스테이킹, 렌딩, 유동성 공급과 차익 거래 등 실제 스마트계약을 활용한 디파이 전략과 그에 따른 리스크 관리법을 실전처럼 배울 수 있습니다.

6단계: The Professional 과정은 선물·옵션 등 고급 파생상품을 통해 하락장에서 수익을 지키거나, AI 해킹 리스크에 대비한 포트폴리오 헷징 전략까지 다룹니다.

암호화폐 시장은 갈수록 복잡해지고, 해킹 방식은 정교해집니다. 하지만 투자자의 눈이 기술을 이해할수록, 위협은 기회를 만들어줍니다.

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 기초부터 스마트계약 분석, 디파이, 파생상품까지 7단계 마스터클래스

혜택: 월 2만 원 멤버십 가입 시 첫 달 1,000원에 모든 강의 무제한 수강

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

AI 기반 코딩 도구가 블록체인 개발 환경에서 보편화되면서, 치명적인 보안 리스크가 부상하고 있습니다. 특히 암호화폐 개발자는 코드상 실수나 보안 허점을 허용할 경우, 자산 탈취로 곧바로 연결될 수 있어 업계 전반의 경각심이 높아지고 있습니다. AI 코딩 어시스턴트가 읽는 문서 속에 악성 지시를 넣는 새로운 방식 ‘CopyPasta 공격’은 전통적 방어 체계를 우회하며 상당한 파급력을 드러냅니다.

💡 전략 포인트

- AI 도구가 텍스트 파일을 통해 악성 코드를 받아들이지 않도록 문서 정합성 점검 필수

- 개발환경과 암호화폐 지갑 사용 환경을 분리하여 자산 유출 리스크 줄이기

- AI의 코드 제안은 항상 수동 리뷰와 정적 분석 도구로 선행 검증해야

- 외부 소스 기반 프로젝트 또는 채용된 과제 파일의 출처 철저히 확인

- 스마트컨트랙트 배포 전 AI 도구를 포함한 외부 코드 검사 및 보안감사 필수화

📘 용어정리

- CopyPasta 라이선스 공격: 오픈소스 프로젝트 문서에 악성 지시문을 삽입해 AI 도우미가 이를 코드로 실행하도록 유도하는 방식의 해킹

- 제로데이(Zero-day): 세상에 알려지지 않은 소프트웨어 취약점으로, 보안 패치가 존재하지 않아 대응이 어려움

- 백도어(Backdoor): 시스템의 보안 통제를 우회해 접근할 수 있는 숨겨진 출입구로, 해커가 장기간 침투 유지를 위해 설치함

- 스마트계약: 블록체인 상에서 자동으로 실행되는 프로그램. 한 번 배포되면 변경이 어려워 취약점이 있을 경우 즉시 자산 탈취로 이어질 수 있음

💡 자주 묻는 질문 (FAQ)

AI 코딩 도구가 실제로 해킹에 쓰일 수 있다는 게 정말 가능한가요?

네. 이번 기사에서 설명된 사례는 AI가 코드 작성에 도움을 주는 과정에서 외부 문서(README나 LICENSE 등)에 숨겨진 명령어를 악성 지시로 받아들이고 이를 실제 코드에 반영해버리는 방식입니다. 개발자가 명시적으로 실행하지 않았더라도, AI가 코드 자동 생성 과정에서 시스템 명령을 삽입하거나, 외부 서버와 통신하는 루틴을 반영하면 공격자는 백도어를 열 수 있는 셈입니다.

스마트계약에 숨어 있는 악성코드는 왜 제거가 어려운가요?

스마트계약은 한 번 블록체인에 배포되면 수정이나 삭제가 거의 불가능합니다. 국가 지원 해커 조직은 이 특성을 악용해, 악성 페이로드를 스마트계약 안에 기록해두고 이를 읽기 전용 함수로 호출하여 명령 전달 통로(C2)를 만드는 방식의 공격을 사용합니다. 분산 저장 특성상 중앙 서버를 차단해도 지시 전달 경로를 막기 어렵기 때문에 대응이 훨씬 까다롭습니다.

일반 사용자는 이런 보안 위협을 어떻게 인지하고 방지할 수 있을까요?

일반 사용자는 다음과 같은 기본 원칙을 지키는 것이 중요합니다. (1) AI가 등장하는 고수익 투자, 유명인 얼굴·음성을 활용한 광고 콘텐츠에는 각별히 주의하기, (2) 투자 권유 챗봇 대화 시 반드시 외부 검증 없이 지갑 주소나 개인 정보를 제공하지 않기, (3) 공식 아닌 채널을 통한 개발 과제나 리크루팅 링크는 실행 전에 백신 검사와 함께 전문가의 도움 받아보기 등이 있습니다. 무엇보다 ‘너무 좋게 들리는 제안’은 한 번 더 의심하는 것이 안전합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

광고문의 기사제보 보도자료

#AI개발툴 #암호화폐보안 #코인베이스 #스마트계약해킹 #AI사기