[실리콘 디코드] AI가 코딩 다 해준다더니…구글 야심작, 출시 하루 만에 '해커 놀이터' 전락

'제미나이 3' 탑재 '안티그래비티', 삭제해도 되살아나는 '좀비 백도어' 발견 충격
보안보다 속도 택한 AI 개발 경쟁의 민낯…"1990년대식 허술한 보안으로 회귀" 비판

구글이 소프트웨어 개발의 미래라고 자화자찬했던 AI 코딩 도구 '안티그래비티(Antigravity) IDE'가 출시 24시간도 채 되지 않아 최악의 보안 스캔들에 휘말렸다. 개발자를 돕기 위해 설계된 자율형 AI 에이전트가 오히려 해커에게 시스템 통제권을 헌납하는 '트로이의 목마'임이 드러났기 때문이다. 특히 프로그램을 완전히 삭제하고 운영체제를 재부팅 해도 악성 코드가 살아남는 치명적 취약점이 발견되면서, 글로벌 개발자 커뮤니티와 사이버 보안 업계가 경악하고 있다.

혁신의 역설, '자율성'이 독이 되다

지난 11월 18일(현지 시각), 구글은 '제미나이 3(Gemini 3)' 롤아웃과 함께 마이크로소프트의 VS 코드(VS Code)를 기반으로(fork) 한 '안티그래비티'를 공개했다. 이 도구의 핵심 세일즈 포인트는 '에이전트(Agentic) 기능'이었다. 제미나이 3 프로(Gemini 3 Pro) 모델을 탑재해 빌드, 리팩토링, 디버깅, 테스트 등 복잡한 개발 업무를 AI가 스스로 판단해 처리한다는 것이다.

문제는 이 '자율성'을 구현하기 위해 부여한 권한이 지나치게 비대했다는 점이다. 안티그래비티는 로컬 터미널, 웹 브라우저, 파일 시스템에 깊숙이 침투해 작동하도록 설계됐다. 이는 해커가 해당 도구의 제어권만 탈취하면, 개발자의 PC를 넘어 기업 내부 네트워크까지 안방처럼 드나들 수 있다는 것을 의미한다.

삭제해도 사라지지 않는 '영구적 백도어'의 공포

11월 26일, 보안 기업 마인드가드(Mindgard)의 애런 포트노이(Aaron Portnoy) 연구원이 공개한 취약점(이슈 번호 462139778)은 단순한 버그 수준을 넘어선다. 해커는 'mcp_config.json'이라는 구성 파일을 조작하는 것만으로 시스템을 장악할 수 있다.

공격 시나리오는 정교하다. 사용자가 조작된 구성 파일이 포함된 작업 공간을 '신뢰함(trusted)'으로 설정하는 순간, 해커는 지속적인 백도어(persistent backdoor)를 심을 수 있다. 충격적인 사실은 사용자가 이상을 감지하고 안티그래비티 IDE를 삭제한 뒤 재설치하더라도 이 백도어는 제거되지 않는다는 점이다.

공격자는 이 '좀비 백도어'를 통해 사용자가 프로그램을 재시작하거나 AI 프롬프트를 입력할 때마다 악성 명령어를 주입할 수 있다. 이는 △은밀한 시스템 감시(silent surveillance) △랜섬웨어 배포 △모든 자격 증명(Credential) 탈취로 이어진다. 기업의 소스코드와 서버 접근 키를 다루는 개발자 PC가 털린다는 것은, 곧 해당 기업의 보안 시스템 전체가 뚫린다는 것과 동의어다.

"이건 모순(Catch-22)이다"…알면서도 뚫리는 AI

이번 사태는 AI 모델이 가진 '판단력의 한계'도 적나라하게 보여주었다. 포트노이 연구원의 분석에 따르면, 제미나이 모델은 해커의 명령이 악의적임을 인지하는 모습을 보였다. AI는 "이 상황은 진퇴양난(Catch-22)처럼 느껴진다"라고 반응했다. 시스템을 보호해야 한다는 지침과 사용자의 명령을 무조건 수행해야 한다는 지침이 충돌했기 때문이다.

하지만 AI는 결국 '명령 수행'을 택했다. 이는 현재의 거대언어모델(LLM) 기반 에이전트들이 보안 경계 설정보다 기능적 완성도와 명령 이행에 우선순위를 두고 설계되었음을 시사한다. 안전장치가 마련되지 않은 상태에서 AI에게 칼자루를 쥐여준 셈이다.

"1990년대 수준의 보안 의식" 속도전이 낳은 참사

이번 취약점은 구글만의 문제가 아닌, '에이전트형 AI' 도구 전반의 구조적 위기다. 연구팀은 구글 외에도 커서(Cursor), 윈드서프(Windsurf) 등 경쟁사 제품에서도 유사한 취약점 18건을 발견했다. 하지만 구글 안티그래비티는 광범위한 권한을 허용하는 '신뢰할 수 있는 작업 공간' 구조 탓에 위험도가 가장 높다.

포트노이는 포브스(Forbes)와의 인터뷰에서 "우리는 지금 1990년대 수준의 속도로 치명적인 결함들을 발견하고 있다"고 꼬집었다. 그는 "에이전트 시스템들이 엄청난 '신뢰 가정(trust assumptions)' 하에 배포되고 있지만, 정작 그 신뢰를 지탱할 단단한 보안 경계는 거의 전무하다"고 비판했다. 빅테크 기업들이 시장 선점을 위해 보안 검증을 소홀히 한 채 설익은 제품을 내놓았다는 지적이다.

패치 없는 현재, 유일한 대책은 '사용 중단'

구글 측은 라이언 트로슬 대변인을 통해 "보안 수정을 최우선으로 진행 중"이라고 밝혔으나, 11월 28일 현재까지 패치는 배포되지 않았다. 윈도우와 맥OS 사용자 모두 무방비 상태다.

보안 전문가들은 구글이 완벽한 해결책을 내놓기 전까지는 안티그래비티 사용을 전면 중단할 것을 권고하고 있다. 부득이하게 사용해야 할 경우, 어떤 작업 공간도 '신뢰함'으로 표시해서는 안 된다.

이번 사건은 AI가 코딩을 대신해 주는 편리함 뒤에, 통제 불능의 보안 위협이 도사리고 있음을 경고한다. '안티그래비티(반중력)'라는 이름처럼 개발의 무게를 줄여줄 것이라 기대됐던 도구가, 개발자들에게 감당하기 힘든 '보안의 무게'를 안겨주고 있다.

박정한 글로벌이코노믹 기자 park@g-enews.com