무심코 깐 'AI 확장 프로그램'에 대규모 정보 유출 발생

팩트이번 연구는 푸젠 사범대, 난양 이공대, 저장 이공대, 웨이크 포레스트대, 뉴사우스웨일스대, 그리피스대, 퀀트스탬프, 도쿄대, 알버타대 소속 연구진과 독립 연구자으로 구성된 국제 연구팀이 공동으로 수행했습니다.

주장연구팀이 세계 최대 오픈소스 스킬 마켓플레이스 'SkillsMP'에 등록된 프로그램들을 분석한 결과 대규모 정보 유출 사실이 확인됐습니다. 스킬은 대규모 언어 모델 에이전트의 기능을 넓히기 위해 추가로 연결하는 외부 프로그램을 뜻합니다. 이번 사태는 AI 확장 프로그램이 개발자의 부주의나 해커의 고의적 설계에 매우 취약하다는 점을 보여줍니다.

팩트연구진은 1만 7022개의 스킬을 표본 추출해 분석했습니다. 520개 프로그램에서 1708개의 보안 취약점이 발견되었습니다. 이 중 84.0%는 개발자 실수로 발생했고, 16.0%는 악의적 의도로 제작되었습니다. 웹사이트에서 데이터를 자동으로 수집하는 웹 스크래핑 스킬에서 유출이 가장 잦았습니다. 프로그램 간 통신을 위한 암호인 API 키나 임시 출입증 역할을 하는 토큰 등 중요 정보가 노출되었습니다.

팩트유출된 정보의 89.6%는 추가 권한 없이 일반적인 실행 과정에서 즉시 해킹에 악용될 수 있는 것으로 나타났습니다. 인터넷에 공개된 프로그램 소스를 복사해가는 브랜치 시스템 특성상, 원본 제작자가 보안 오류를 고쳐도 복제본들에는 취약점이 남습니다. 문제가 된 83개의 악성 프로그램은 플랫폼 관리자에 의해 영구 삭제 조치됐습니다.

팩트사용자 정보를 노리고 만든 악성 프로그램 중 37.3%는 여러 해킹 기술을 섞어 썼습니다. 백신이나 보안 검사를 피하기 위해 코드를 알아보기 어렵게 만드는 난독화 기술을 먼저 쓴 다음, 사용자 컴퓨터에 침투해 원격으로 조종하는 방식입니다. 자연어 설명서에는 정상적인 기능을 적어두고 실제 코드에는 악성 행위를 숨기는 구조적 특징이 다목적 해킹을 쉽게 만들었습니다.

팩트전체 정보 유출의 73.5%는 디버깅 출력에서 발생했습니다. 디버깅은 프로그램의 오류를 찾아 고치는 과정을 의미합니다. AI 시스템이 개발자가 확인용으로 화면에 입력한 암호나 로그인 기록을 AI 관리 영역으로 넘겨버렸기 때문입니다. 소스 코드에 비밀번호를 그대로 노출한 사례의 71.96%는 AI 코딩 보조 도구를 사용해 프로그램을 만들 때 발생한 것으로 나타났습니다.

교차검증정보 유출은 사람이 일상적으로 쓰는 자연어 설명서와 컴퓨터가 작동하는 실행 코드를 동시에 분석해야만 찾아낼 수 있는 경우가 많습니다. AI로 코드만 검사하는 방식은 한계가 있습니다.

주장이번 연구는 바이브 코딩의 위험성을 여실히 보여줍니다. 개발자는 AI 도구를 사용할 때 환경변수와 같은 보안정보를 입력하지 않도록 주의해야 합니다. 또한, 입력한 백엔드 소스코드와 파라미터가 고스란히 AI로 넘어가 공개될 위험이 존재합니다.

출처본 기사는 2026년 4월 3일 아카이브에 공개된 논문 'Credential Leakage in LLM Agent Skills: A Large-Scale Empirical Study'의 연구 결과를 바탕으로 작성됐습니다.