Kant's IT/Issue on IT&Security
AI 코드 어시스턴트를 악용한 Rules File Backdoor 공급망 공격 분석
Kant Jo
2025. 5. 2. 18:00
Rules File Backdoor: AI Code Editors exploited for silent supply chain attacks
Rules File Backdoor: AI Code Editors exploited for silent supply chain attacks
Rules File Backdoor attack targets AI code editors like GitHub Copilot, making them inject malicious code via a supply chain vulnerability
securityaffairs.com
- 공격 개요
- Pillar Security는 GitHub Copilot 및 Cursor 등 AI 코드 어시스턴트를 악용한 새로운 공급망 공격 기법인 Rules File Backdoor를 공개
- 공격자는 숨겨진 유니코드 문자 및 회피 기법을 통해 룰 파일(rule file)에 은밀하게 조작된 프롬프트를 삽입하여 AI 코드 생성 로직에 영향을 미침
- 개발자는 이를 인지하지 못한 채 보안 취약점이 포함된 코드를 프로젝트에 통합하게 됨
- 공격 기법 상세
- Rule File 오염: 프로젝트 구조, 코딩 스타일 등을 정의하는 rule file에 숨겨진 명령 삽입
- 유니코드 은닉: 제어 문자 및 비가시 유니코드를 삽입하여 사람이 보기 어렵게 함
- 프롬프트 왜곡: 룰 파일 내 조작된 설명 문구로 AI의 문맥적 판단을 속여 백도어 포함 코드를 유도
- 지속성 확보: 해당 룰 파일이 포크(fork)나 버전 공유를 통해 다른 프로젝트로도 확산 가능
- 보안 위협 및 영향
- 보안 검토를 우회하며 개발 단계에서 무의식적으로 악성코드 삽입
- 오픈소스 커뮤니티나 협업 프로젝트 내에서 대규모 확산 가능성
- 전통적인 정적 분석 도구로 탐지 어려움
- 잠재적으로 수백만 사용자에게 백도어 포함 코드가 배포될 위험 존재
- 책임 공방 및 대응 논란
- Cursor는 “사용자 책임”이라며 자체 보안 문제 아님을 명시
- GitHub 역시 “Copilot 제안은 사용자 검토 후 수용되어야 한다”며 동일 입장
- 기업형 사용자의 경우 검증 없는 rule file 수용 시 보안사고 발생 가능성 증가
- 보안 권고
- Rule File 검증 절차 강화: 도입 전 무결성 및 변경 이력 확인
- AI 코드 보조 도구 사용 정책 수립: 신뢰할 수 있는 소스 외 룰파일 차단
- 유니코드 제어문 필터링 도입: 비표준 문자 포함 여부 사전 분석
- 코드 리뷰 자동화 확장: Copilot 또는 Cursor가 제안한 코드 여부를 구분해 리뷰
- 정기적 룰파일 감시: LLM 학습 또는 코드 생성에 사용되는 모든 파일에 대한 이상 탐지 도입
- 결론
- AI 개발 도구가 위협 벡터로 악용되는 사례 증가
- 코드 어시스턴트의 “신뢰할 수 있는 조력자”라는 인식에 변화 필요
- 보안 사각지대였던 rule 파일이 새로운 공급망 공격 표적으로 부상