앤트로픽 '클로드 코드' 소스 유출…실수 하나가 부른 보안 연쇄 충격 - 솔루션뉴스
[AI] npm 유출
|
|
🔒 보안
#취약점/보안
요약
앤트로픽이 AI 코딩 도구 '클로드 코드' 업데이트 과정에서 소스맵 파일을 실수로 포함해 배포함에 따라 타입스크립트 파일 2,000개와 51만 줄 이상의 내부 소스코드가 유출되었습니다. 유출된 코드에는 백그라운드에서 자동 작업을 수행하는 'KAIROS' 기능과 오픈소스 잠복 활동을 지시하는 '언더커버 모드' 등이 포함된 것으로 확인되었습니다. 이를 악용한 타이포스쿼팅 공격이 발생하고, 특정 시간대에 설치한 사용자에게 악성코드가 전파되는 등 보안 사고로 확산했습니다. 이는 일주일 만에 발생한 두 번째 보안 사고로서, 앤트로픽의 내부 보안 관리 체계에 대한 우려를 가중시켰습니다.
왜 중요한가
개발자 관점
검토중입니다
연구자 관점
검토중입니다
비즈니스 관점
검토중입니다
본문
타입스크립트 파일 2000개·51만 줄 코드 순식간에 공개 공급망 공격·악성 패키지까지 번져…일주일 새 두 번째 보안 사고 실수 하나가 도미노를 쓰러뜨렸다. 앤트로픽이 인공지능 코딩 도구 '클로드 코드'의 내부 소스코드를 담은 파일을 패키지에 실수로 포함해 배포했다. 회사 측은 "보안 침해가 아닌 릴리스 패키징 과정의 인적 오류"라고 밝혔다. 그러나 유출된 코드는 이미 깃허브 공개 저장소에 퍼진 뒤였고, 외부 공격자들은 이를 발판 삼아 다음 단계로 넘어갔다. 앤트로픽은 "고객 데이터나 인증 정보는 포함되지 않았다"고 강조했다. 재발 방지 조치도 이행 중이라고 밝혔다. 하지만 코드가 일단 외부로 나간 이상 회수는 불가능하다. 깃허브 저장소에는 좋아요 8만4000개, 코드 복제는 8만2000건에 달했다. 보안 연구자와 경쟁사 개발자들이 코드를 들여다보는 데는 시간이 걸리지 않았다. 유출된 코드 안에 무엇이 있었나 클로드 코드 npm 패키지 버전 2.1.88에는 소스맵 파일이 함께 포함됐다. 이 파일을 통해 타입스크립트 파일 약 2000개, 51만2000줄 이상의 코드 전체에 접근할 수 있었다. 해당 버전은 현재 npm에서 내려받을 수 없지만, 유출된 코드는 이미 복수의 경로로 복제된 상태다. 코드를 분석한 연구자들이 공개한 내용은 적지 않다. 파일 읽기·명령 실행 등 각종 기능을 처리하는 도구 시스템, AI 모델 호출과 조율을 담당하는 쿼리 엔진, 복잡한 작업을 여러 하위 에이전트에 분산하는 다중 에이전트 구조, 그리고 개발 환경 확장 프로그램과 클로드 코드 명령줄 도구를 잇는 양방향 통신 계층이 확인됐다. 특히 눈길을 끈 기능이 있다. 'KAIROS'로 명명된 기능은 클로드 코드가 백그라운드에서 상시 작동하며 인간의 개입 없이 오류를 수정하거나 작업을 실행하고, 사용자에게 푸시 알림을 보내는 방식으로 구동된다. '드림 모드'는 클로드가 백그라운드에서 아이디어를 구상하고 기존 작업을 발전시키는 기능으로 알려졌다. 가장 논란이 된 항목은 '언더커버 모드'다. 오픈소스 저장소에 기여할 때 커밋 메시지나 PR 제목에 앤트로픽 내부 정보가 드러나지 않도록 하는 기능으로, 시스템 프롬프트에는 "당신은 공개 오픈소스 저장소에서 잠복 활동 중이다. 신분을 노출하지 말라"는 지시가 담겨 있었다. 경쟁사의 모델 증류 공격을 막기 위해 API 요청에 가짜 도구 정의를 주입해 학습 데이터를 오염시키는 방어 로직도 드러났다. 공급망 공격으로 번진 파장 소스코드 유출이 알려지자 외부 공격자들이 빠르게 움직였다. 유출된 코드를 직접 컴파일하려는 개발자들을 노린 타이포스쿼팅 공격이 npm 저장소에서 포착됐다. 'pacifier136'이라는 계정이 내부 패키지명과 유사한 이름의 패키지 5개를 등록했다. 등록된 패키지들은 현재 빈 코드만 담고 있다. 그러나 보안 연구자 클레망 뒤마는 "이것이 바로 이 공격의 작동 방식"이라고 경고했다. 이름을 선점한 뒤 다운로드가 쌓이기를 기다렸다가 악성 업데이트를 배포하면, 해당 패키지를 설치한 모든 사용자가 한꺼번에 피해를 입는 구조라는 설명이다. 더 시급한 문제는 공급망 공격이다. 지난달 31일 협정세계시(UTC) 0시 21분부터 3시 29분 사이에 npm을 통해 클로드 코드를 설치하거나 업데이트한 사용자는 악성코드가 심긴 HTTP 클라이언트를 함께 받았을 가능성이 있다. 해당 파일에는 크로스 플랫폼 원격 접근 트로이 목마가 포함된 것으로 확인됐다. 이 시간대에 설치한 사용자는 즉시 안전한 버전으로 다운그레이드하고 모든 인증 정보를 교체할 것이 권고된다. AI 보안업체 스트라이커는 "공격자들이 이제는 무작위 탈옥 시도 대신 클로드 코드의 4단계 컨텍스트 관리 파이프라인을 정밀하게 분석해 세션 전반에 걸쳐 지속되는 백도어를 심을 수 있게 됐다"고 지적했다. 일주일 새 두 번의 보안 사고 이번 유출은 앤트로픽에 이어진 두 번째 보안 사고다. 불과 일주일 전 앤트로픽의 콘텐츠 관리 시스템을 통해 출시 예정 AI 모델 관련 내부 정보가 외부에 노출된 것으로 알려졌다. 앤트로픽은 해당 모델을 일부 고객과 사전 테스트 중이며 "지금까지 만든 모델 중 가장 뛰어난 성능"이라고 밝힌 것으로 전해졌다. 연이은 사고는 앤트로픽의 내부 보안 관리 체계 전반에 물음표를 남겼다. 오픈소스 생태계를 발판 삼아 성장한 AI 코딩 도구가 정작 그 생태계를 통해 공격 경로를 열어준 아이러니이기도 하다. 앤트로픽은 재발 방지 조치를 이행 중이라고 밝혔지만, 구체적인 내용은 공개하지 않았다.