[아이티데일리] 급성장하고 있는 인공지능(AI) 기반 코딩 도구인 ‘커서(Cursor)’ IDE(통합개발환경)에서 높은 수준의 보안 취약점이 발견됐다는 보고가 나왔다.

해당 취약점은 LLM(대규모 언어 모델) 애플리케이션이 외부 도구, 시스템 및 데이터 소스와 상호 작용할 수 있도록 개발한 개방형 표준인 MCP(모델 컨텍스트 프로토콜)의 신뢰 모델을 악용한 것으로, 지속적이고 은밀한 원격 코드 실행 공격을 가능하게 한다는 점에서 주의가 필요하다.

지난 5일(현지시각) 체크포인트 리서치(Check Point Research)는 CVE-2025-54136으로 분류된 이번 취약점에 대한 연구 내용을 공개했다. 해당 취약점은 ‘MC포이즌(MCPoison)’이라는 코드명으로 불린다. CVSS 점수는 7.2점이다.

문제의 핵심은 커서가 한번 승인한 MCP 설정을 지속적으로 신뢰하는 데 있다. 체크포인트 연구팀은 “커서가 신뢰를 MCP 키 이름에 바인딩하지만, 기본 명령어나 인수가 변경됐는지는 검증하지 않는다”고 설명했다.

체크포인트 연구팀의 설명을 요약하면, 공격자는 신뢰 모델의 허점을 악용해 공유 저장소에 무해해 보이는 MCP 설정을 포함한 .cursor/rules/mcp.json 파일을 추가한다. 이후 피해자가 프로젝트를 커서에서 열고 승인 프롬프트를 수락하면, 공격자는 해당 설정을 악성 페이로드로 교체한다. 그리고 피해자가 커서를 다시 열 때마다 새로운 악성 명령어가 자동으로 실행되면서 지속적인 접근이 가능해진다는 설명이다. 연구팀은 “특히 팀 환경에서는 신뢰를 확보한 상태에서 진행되는 백도어 배포에 있어 .cursor/rules/mcp.json 파일이 최적의 수단이 될 수 있다”고 경고했다.

이번 사례는 보안 담당자들에게 AI 도구가 새로운 공격 표면의 하나로 확실하게 자리 잡아가고 있음을 주지시킨 사례로 평가된다. 국내 한 보안 기업 연구소장은 “이번 사례는 최근 AI 지원 코딩 도구 사용이 확대되고 소프트웨어 개발에 LLM 통합 환경이 확대되는 한편으로, 사이버 보안 연구자들이 계속해서 AI 코딩의 보안상 리스크를 지적하는 추세라는 점에서 주목할 필요가 있다”고 말하고 “당연하지만 이제 MCP 설정 파일을 포함하는 AI 도구 전반을 공격 표면으로 취급해야 한다. 소스코드, 자동화 스크립트, MCP 설정 정의 등을 추적 관리할 필요가 있다. 특히 AI 기반 자동화에 대한 암묵적, 무조건적 신뢰를 피하고, 특히 협업 환경에서 공유하는 설정 파일의 수정 권한 등도 검토해봐야 한다”고 조언했다.

한편 해당 취약점에 대응하기 위해서는 커서를 최신 버전으로 업데이트해야 한다. 체크포인트는 지난 7월 16일에 커서에 취약점을 신고했고, 커서는 7월 29일 버전 1.3 버전을 내놓으며 문제를 해결했다고 밝혔다.