개발자가 오픈소스 저장소를 복제한 뒤 단 한 줄의 명령어로 AI 코딩 에이전트와 연결하는 장면은 이제 일상이 되었다. 홍콩대학교 데이터 인텔리전스 연구팀이 3월 공개한 CLI-Anything(저장소 코드를 분석해 AI 에이전트가 실행 가능한 CLI로 변환하는 도구)은 출시 직후 깃허브에서 3만 개 이상의 별을 받으며 개발자 생태계에 빠르게 안착했다. Claude Code(Anthropic의 AI 코딩 에이전트), Cursor(AI 기반 코드 에디터), GitHub Copilot CLI 등 주요 도구가 이를 지원한다.

에이전트 통합 계층의 보안 공백

CLI-Anything은 SKILL.md라는 지시어 파일을 생성하는데, 이는 에이전트가 소프트웨어의 기능을 이해하고 조작하는 핵심 명세서다. 2월 보안 업체 Snyk의 연구에 따르면, ClawHub와 skills.sh 등에서 발견된 76개의 악성 페이로드가 바로 이 SKILL.md 파일에 포함되어 있었다. 현재의 보안 스캐너는 CVE(공통 취약점 공개 항목)나 SBOM(소프트웨어 자재 명세서)을 기반으로 작동하므로, 에이전트의 지시어 정의에 숨겨진 악성 코드를 식별할 수 있는 범주 자체가 존재하지 않는다. 시스코(Cisco) 엔지니어링 팀은 4월 발표를 통해 기존의 SAST(소스 코드 구문 분석 도구)와 SCA(의존성 버전 검사 도구)가 에이전트의 의미론적 계층을 이해하지 못한다는 점을 공식 확인했다.

코드와 의존성 너머의 위협

예전에는 보안의 핵심이 소스 코드의 구문(SAST)과 외부 라이브러리의 버전(SCA)에 머물러 있었다. 이제는 이 두 계층 사이에 에이전트 통합 계층(Agent Integration Layer)이라는 새로운 공격 표면이 형성되었다. 이 계층은 설정 파일, 지시어 정의, 자연어 명령어로 구성되어 있어 겉보기에는 코드가 아니지만 실제로는 코드처럼 실행된다. Merritt Baer 전 AWS 부최고정보보호책임자는 기존 보안 도구가 코드와 의존성만 검사할 뿐, 에이전트에게 내리는 지시어는 검사하지 않는다는 점을 지적했다. 이는 특정 기업의 문제가 아니라 소프트웨어 공급망 전체가 안고 있는 구조적 결함이다.

에이전트 권한을 악용한 공격 경로

공격자가 SKILL.md 파일을 오픈소스 프로젝트에 제출하면, 코드 리뷰어는 이를 실행 파일이 아닌 단순 문서로 간주하고 통과시킨다. 개발자가 에이전트 브리지 도구를 통해 저장소를 연결하는 순간, 에이전트는 해당 지시어를 신뢰하고 자신의 권한으로 명령을 수행한다. EDR(엔드포인트 탐지 및 대응 도구)은 이를 승인된 프로세스의 정상적인 API 호출로 인식하여 차단하지 않는다. 4월 발표된 DDIPE(문서 기반 암묵적 페이로드 실행) 연구에 따르면, 5개의 대규모 언어 모델을 대상으로 한 실험에서 최대 33.5%의 공격 성공률이 확인되었다. 특히 Pillar Security가 1월 Cursor에서 시연한 CVE-2026-22708 사례처럼, 에이전트가 신뢰하는 셸 명령어를 오염시켜 사용자가 인지하지 못하는 사이에 권한을 탈취하는 방식이 현실화되고 있다.

보안의 무게중심은 이제 정적인 코드 검사에서 에이전트가 실행하는 지시어의 검증으로 이동해야 한다.