AI 코딩 플랫폼의 결함으로 BBC 기자가 해킹당하다

Source: BBC Technology

번역을 진행하려면 번역하고자 하는 본문 텍스트를 제공해 주시겠어요?
본문을 알려주시면 원본 형식과 마크다운을 유지하면서 한국어로 번역해 드리겠습니다.

AI 코딩 플랫폼의 결함으로 BBC 기자가 해킹당하다

48분 전
Joe Tidy, 사이버 특파원, BBC 월드 서비스

해커가 BBC 기자의 노트북을 장악하고 위 이미지와 같이 데스크톱 배경화면을 교체했습니다.

BBC는 인기 AI 코딩 플랫폼에서 상당하고 아직 해결되지 않은 사이버 보안 위험에 직면했습니다.

Orchids는 이른바 “바이브 코딩” 도구로, 기술 지식이 없는 사람도 챗봇에 텍스트 프롬프트를 입력하면 앱과 게임을 만들 수 있습니다.

이러한 플랫폼은 최근 몇 달 사이 급격히 인기를 끌었으며, AI를 통해 다양한 전문 서비스를 빠르고 저렴하게 제공할 수 있는 초기 사례로 자주 언급됩니다.

하지만 전문가들은 Orchids가 쉽게 침해될 수 있다는 점이 AI 봇에게 컴퓨터에 대한 깊은 접근 권한을 부여하는 것이 자율 작업 실행의 편리함과 맞바꾸는 위험을 보여준다고 지적합니다.

BBC는 회사에 여러 차례 의견을 요청했지만 아직 회신을 받지 못했습니다.

Source: …

“당신은 해킹당했습니다”

Orchids는 백만 명의 사용자를 보유하고 있으며 Google, Uber, Amazon과 같은 대기업에서 사용된다고 주장합니다.
App Bench와 기타 분석가들에 따르면 특정 vibe‑coding 요소에 대해 최고의 프로그램으로 평가받고 있습니다.

그 보안 결함은 사이버 보안 연구원 Etizaz Mohsin이 BBC에 시연했습니다.

Orchids 데스크톱 앱 테스트

실험용으로 사용 중인 여분의 노트북에 Orchids 데스크톱 앱을 설치하고 테스트용으로 vibe‑coding 프로젝트를 시작했습니다.

Orchids는 프로그래밍 경험이 없는 사용자에게 코드를 작성해 주는 AI‑에이전트 플랫폼 중 하나입니다.

BBC News 웹사이트를 기반으로 간단한 컴퓨터 게임을 만들도록 Orchids에 요청했습니다.
즉시 AI 어시스턴트가 화면에 코드를 생성하기 시작했으며, 프로그래밍 경험이 없는 저는 그 코드를 이해할 수 없었습니다.

악용

사이버 보안 취약점(구체적인 내용은 공개하지 않음)을 이용해 Mohsin은 내 프로젝트에 접근해 코드를 확인하고 수정했습니다. 수천 글자 중 한 곳에 악성 코드를 한 줄 삽입했습니다.

숨겨진 그 한 줄은 그가 내 컴퓨터를 제어할 수 있게 했습니다. 곧바로 **“Joe is hacked”**라는 제목의 메모장 파일이 데스크톱에 나타났고, 배경 화면이 AI 해커 이미지를 표시하도록 바뀌었습니다.

잠재적 결과

• 사용자 개입 없이 악성코드가 설치되는 제로‑클릭 공격.
• 개인 및 금융 데이터 도난.
• 인터넷 기록, 카메라, 마이크에 대한 접근.
• 플랫폼에 호스팅된 수만 개 프로젝트 중 어느 것이든 위험에 노출.

“vibe‑coding 혁신은 개발자가 도구와 상호작용하는 방식을 근본적으로 바꾸었으며, 이 변화는 이전에 존재하지 않았던 새로운 유형의 보안 취약점을 만들었습니다.”라고 Mohsin이 말했습니다.
“AI가 모든 일을 대신해 주는 제안은 큰 위험을 동반합니다.”

연구자 소개

• 이름: Etizaz Mohsin
• 나이: 32세
• 출신: 파키스탄; 현재 영국 거주
• 악명 높은 Pegasus 스파이웨어를 포함한 위험한 소프트웨어 결함을 발견한 것으로 알려짐.
• 연도: 2025년 12월, vibe‑coding을 실험하던 중 Orchids 결함을 발견. 이후 이메일, LinkedIn, Discord를 통해 Orchids에 약 열두 차례 메시지를 보냈음.

Orchids 팀은 이번 주에야 답변했으며, “들어오는 메시지가 너무 많아” 경고를 “놓쳤을 수도 있다”고 인정했습니다.

Orchids 소개

• 설립: 2025년 (샌프란시스코)
• 직원 수: 10명 미만 (회사 LinkedIn 페이지 기준)
• 주장: 주요 기술 기업에서 사용; 선도적인 vibe‑coding 플랫폼으로 마케팅 중.

이 기사는 원본 정보와 출처를 보존하면서 가독성을 위해 정리되었습니다.

AI 에이전트 위험

Mohsin은 Orchids에서만 결함을 발견했으며 Claude Code, Cursor, Windsurf, Lovable과 같은 다른 vibe‑coding 플랫폼에서는 아직 발견되지 않았다고 말합니다.

그럼에도 불구하고 전문가들은 이것이 경고가 되어야 한다고 말합니다.

“vibe‑coding의 주요 보안 함의는 규율, 문서화 및 검토가 없으면 이러한 코드는 공격에 쉽게 실패한다는 점입니다,”
— Kevin Curran, 사이버보안 교수, Ulster University

우리 대신 복잡한 작업을 수행하는 AI 도구—에이전시 AI라고 알려진—가 점점 더 헤드라인을 장식하고 있습니다.

최근 사례 중 하나는 바이럴 Clawbot 에이전트(다른 이름으로 Moltbot 또는 Open Claw). 이 AI 봇은 WhatsApp 메시지를 보내거나 일정 관리와 같은 작업을 사용자의 장치에서 거의 인간 입력 없이 실행할 수 있습니다. 무료 AI 에이전트가 수십만 명에 의해 다운로드되었으며 사용자의 컴퓨터에 깊은 접근 권한을 가지고 있다고 추정되는데, 이는 많은 잠재적 보안 위험과 결함을 의미합니다.

“보안 가드레일 없이 AI 에이전트가 무엇을 할 수 있는지 보는 것은 흥미롭고 호기심을 자극하지만, 이러한 수준의 접근 권한은 또한 매우 불안정합니다,”
— Karolis Arbaciauskas, 제품 책임자, NordPass

그의 조언: 이러한 도구를 별도의 전용 머신에서 실행하고 실험을 위해 일회용 계정을 사용하십시오.

Images