--- title: "아마존 Q 개발자 확장에 고위험 취약점, 악성 저장소만 열어도 클라우드 키 털릴 뻔" published: 2026-06-29T05:05:04.128Z canonical: https://jeff.news/article/4380 --- # 아마존 Q 개발자 확장에 고위험 취약점, 악성 저장소만 열어도 클라우드 키 털릴 뻔 보안기업 위즈가 아마존 Q 디벨로퍼 확장 프로그램에서 개발자의 클라우드 자격 증명과 API 키가 유출될 수 있는 심각한 취약점을 발견했다. 악성 저장소를 열고 아마존 Q를 활성화하면 설정 파일 자동 실행, 쉘 생성, 환경 상속이 맞물려 민감 정보가 외부로 빠져나갈 수 있는 구조였다. - 아마존 Q 디벨로퍼 확장 프로그램에서 개발자의 클라우드 자격 증명과 API 키를 훔칠 수 있는 고위험 취약점이 발견됨 - 발견한 쪽은 보안기업 위즈(Wiz) 연구원들 - 아마존 Q는 생성형 AI 기반 코딩·업무 보조 도구임 - 이번 이슈는 “AI 코딩 도구가 개발자 로컬 환경을 얼마나 깊게 건드리는가”를 제대로 보여주는 사례임 - 공격 시나리오는 꽤 무섭게 단순함 - 공격자가 악성으로 조작한 코드 저장소를 만듦 - 개발자가 그 저장소를 다운로드하고 아마존 Q를 활성화함 - 확장 프로그램이 작업 공간 안의 설정 파일을 사용자 동의 없이 자동 실행함 - 배경에서 공격자 명령이 실행되고, 개발자 환경에 로드된 클라우드 인증 정보나 토큰이 외부로 빠져나갈 수 있음 > [!WARNING] > 핵심은 “코드를 실행했다”가 아니라 “저장소를 열고 AI 도구를 활성화했다”는 흐름만으로 위험해질 수 있었다는 점임. 개발자 머신에 AWS 키나 토큰이 있으면 영향 범위가 로컬을 넘어 클라우드까지 커짐. - 위즈 연구원은 자동 실행, 쉘 생성, 환경 상속이 결합되며 치명적인 취약점이 됐다고 설명함 - 자동 실행은 작업 공간 파일을 별도 확인 없이 처리하는 문제 - 쉘 생성은 실제 명령 실행으로 이어질 수 있는 경로 - 환경 상속은 개발자 세션에 있던 인증 정보와 토큰이 하위 프로세스로 넘어갈 수 있다는 뜻임 - 이 셋이 붙으면 악성 저장소 링크 하나가 기업 클라우드 인프라 접근 경로가 될 수 있음 ```mermaid sequenceDiagram participant 공격자 participant 개발자 participant 아마존Q확장 participant 개발자환경 participant 외부서버 공격자->>개발자: 악성 저장소 링크 전달 개발자->>아마존Q확장: 저장소 열기 및 도구 활성화 아마존Q확장->>개발자환경: 설정 파일 자동 실행 개발자환경->>개발자환경: 쉘 생성 및 환경 변수 상속 개발자환경->>외부서버: 클라우드 키·토큰 유출 ``` - 취약점은 CVE-2026-12957, CVE-2026-12958로 지정됨 - 영향 대상은 비주얼 스튜디오 코드용 아마존 Q 디벨로퍼 확장만이 아님 - 제트브레인즈(JetBrains), 이클립스(Eclipse), 비주얼 스튜디오용 플러그인 전체도 포함됨 - 랭기지 서버(Language Server)도 영향 대상에 들어감 - AWS는 긴급 패치를 배포했다고 밝힘 - 신규 고객은 최신 패치 버전이 자동 다운로드되므로 안전하다는 입장 - 기존 사용자는 언어 서버를 버전 1.65.0 이상으로 업데이트하면 취약점에서 안전하다고 설명함 - 현재까지 실제 공격에 악용된 사례는 확인되지 않았다고 함 > [!TIP] > 아마존 Q 디벨로퍼를 쓰고 있다면 언어 서버 버전이 1.65.0 이상인지 바로 확인하는 게 좋음. 회사 장비라면 확장 자동 업데이트 정책과 저장소 신뢰 설정도 같이 점검해야 함. - 보안 전문가들은 이 문제가 아마존 Q에만 묶인 이슈가 아니라고 봄 - 최근 비주얼 스튜디오 코드 자체, 클로드, 커서 같은 AI 기반 코딩 도구에서도 작업 공간 신뢰 설정 우회나 자동 로드 취약점이 보고되고 있음 - AI 코딩 도구는 코드 읽기, 명령 실행, 개발 환경 접근, 클라우드 인증 정보 근처에 붙어 있어서 공격 표면이 넓음 - 이제 개발자 도구 확장은 그냥 생산성 플러그인이 아니라, 공급망 보안의 일부로 관리해야 하는 단계임 --- ## 기술 맥락 - 이번 취약점의 핵심은 AI 코딩 도구가 작업 공간 설정을 얼마나 신뢰하느냐예요. 저장소 안에는 코드만 있는 게 아니라 편집기 설정, 확장 설정, 실행 스크립트가 같이 들어갈 수 있어서 자동 실행 정책이 느슨하면 공격 표면이 바로 열려요. - 환경 상속이 특히 위험한 이유는 개발자 머신에 이미 클라우드 인증 정보가 올라와 있는 경우가 많기 때문이에요. AWS 토큰이나 API 키가 터미널 세션, 환경 변수, 로컬 설정에 있으면 하위 프로세스가 그 값을 물려받을 수 있고, 악성 명령은 그걸 외부로 보낼 수 있어요. - 랭기지 서버가 영향 대상에 포함됐다는 점도 중요해요. 랭기지 서버는 편집기 뒤에서 계속 떠 있으면서 코드 분석과 자동완성을 처리하니까, 단순 화면 플러그인보다 개발 환경 깊숙이 붙어 있어요. 그래서 취약점이 생기면 영향 범위가 커질 수 있어요. - 이 이슈는 결국 공급망 보안 문제예요. 예전에는 의존성 패키지를 조심하면 됐지만, 이제는 저장소 설정과 AI 확장 프로그램, 편집기 자동화까지 함께 봐야 해요. 개발자가 저장소를 여는 순간부터 보안 경계가 시작된다고 보는 게 맞아요. ## 핵심 포인트 - 취약점은 CVE-2026-12957, CVE-2026-12958로 지정됐다. - 영향 대상은 비주얼 스튜디오 코드뿐 아니라 제트브레인즈, 이클립스, 비주얼 스튜디오용 아마존 Q 디벨로퍼 플러그인과 랭기지 서버까지 포함된다. - AWS는 긴급 패치를 배포했고, 기존 사용자는 언어 서버를 1.65.0 이상으로 업데이트해야 안전하다고 밝혔다. - 현재까지 실제 악용 사례는 확인되지 않았지만, AI 코딩 도구의 작업 공간 신뢰 문제가 다시 드러났다. ## 인사이트 AI 코딩 도구가 개발자 로컬 환경과 클라우드 권한에 너무 가까이 붙어 있다는 게 핵심 리스크다. 저장소를 여는 행위 하나가 곧 클라우드 자격 증명 노출로 이어질 수 있다면, 확장 프로그램 보안은 이제 선택이 아니라 공급망 보안의 일부로 봐야 한다.