💌 후속 콘텐츠, 계속 받아보세요 ▶

오늘날 인공지능(AI) 기술의 발전이 가속화되면서 소프트웨어 개발환경 또한 무섭게 진화하고 있습니다. AI 기반 개발도구가 보편화 되면서 개발 효율성이 비약적으로 향상되었지만, ‘신뢰할 수 없는 코드‘ 와 ’의도치 않는 정보유출’ 관점에서 우리는 새로운 보안 리스크에 직면하게 되었습니다.

본 칼럼에서는 AI 기반 개발 도구 사용 시 고려해야 할 보안 이슈와 대표적 개발도구인 Cursor AI의 보안설정 방안에 대해 짚어보도록 하겠습니다.

01. AI 기반 개발도구의 잠재적 보안위협

AI는 태생적인 한계로 인해 코드 생성 과정에서 고객사가 정한 보안 규칙을 준수하지 않거나, 의도치 않게 보안에 취약한 코드 패턴을 제시할 수 있습니다. 이로 인해 정보 유출의 가능성은 항상 존재합니다.

ㆍ자동 생성 코드의 불확실성
ㆍ훈련 데이터 한계
ㆍ외부 데이터 및 플러그인 의존

국내외 보안 전문 기관 및 단체(NIST, OWASP 등)에서는 AI 기반 개발 도구가 내포할 수 있는 잠재적 보안 위협을 정의하고, 이에 대한 대응 방안을 다음과 같이 제시하고 있습니다.

02. AI 기반 개발 도구의 최근 보안 취약점과 대응 현황

AI 기반 개발 도구는 코드 자동 생성, 테스트 작성, 디버깅 등 다양한 소프트웨어 개발 단계에서 생산성을 높여주는 강력한 수단입니다. 그러나 이러한 도구의 활용이 점차 확대되고 의존도가 높아짐에 따라, 관련 보안 취약점 또한 지속적으로 발견되고 있으며 이에 대한 개선 노력도 이어지고 있습니다.

현재 널리 활용되고 있는 AI 기반 개발 도구 중 하나인 'Cursor AI'는, OpenAI 출신 엔지니어들이 창업한 스타트업 'Cursor'에서 개발한 AI 기반 코드 편집기입니다. 이 도구는 Visual Studio Code를 기반으로 하며, 자연어 명령을 통해 코드 작성, 리팩토링, 디버깅 등을 지원해 개발자들의 생산성을 크게 향상시킵니다. 특히 프로젝트 전반의 맥락을 이해하고, 대화형 인터페이스를 통해 실시간으로 코드와 상호작용할 수 있는 점이 강점입니다.

최근 발견된 Cursor AI 보안 취약점과 그에 따른 대응 현황은 다음과 같습니다.

✅ 터미널 명령어 주입 취약점(CVE-2024-48919)

설명: 사용자가 터미널 명령어를 생성하는 과정에서 악의적인 웹 페이지를 호출할 경우, 공격자가 해당 웹 페이지를 통해 사용자의 터미널에서 임의의 명령어 실행 가능.

조치: 2024년 9월 27일, 서버 측 패치가 적용되었으며, Cursor 0.42 버전에서는 클라이언트 측 완화 조치 추가.
(CVE-2024-48919 : Cursor is a code editor built for programming with AI. Prior to Sep 27, 2024)

✅ Rules File Backdoor 공격

설명: 공급망 공격 벡터의 일환으로, 공격자가 Cursor의 규칙 파일에 악의적인 지침을 삽입하여 AI가 생성하는 코드에 보안 취약점 유발. 이러한 공격은 코드 리뷰를 우회하여 악성 코드가 프로젝트에 침투 가능하게 함.

조치: Cursor AI 규칙 파일의 무결성 검증을 강화하고, 사용자에게 신뢰할 수 있는 규칙 파일만 사용하도록 권장

✅ 파일 시스템 접근 권한 문제

설명: 사용자가 터미널에서 명령어를 실행할 때, AI가 현재 작업 공간 외부의 디렉토리까지 접근 가능하여 민감한 파일에 접근.

조치: Cursor AI의 파일 시스템 접근을 제한하고, 작업 공간 외부의 디렉토리 접근을 방지하기 위한 조치를 강화

✅ Mac OS의 카메라 및 마이크 접근 취약점 (CVE-2024-45599)

설명: mac OS에서 Cursor AI가 카메라나 마이크에 접근할 수 있는 권한을 부여받은 경우, 악의적인 코드가 이를 이용하여 카메라나 마이크를 무단으로 사용 가능

조치: Cursor 0.41.0 버전에서는 프로세스별 권한 분리를 통해 이 취약점을 해결

03. AI 기반 개발도구의 정보유출 차단을 위한 보안설정

생성형 AI 기반 서비스는 기본적으로 외부 클라우드 연결을 전제로 하기 때문에, 개발 도구 환경 설정이 미흡할 경우 앞서 언급한 기밀 정보 유출, 소스 코드 노출, 사용자 데이터 노출 등의 보안 리스크가 발생할 수 있습니다.

따라서 현재 개발 환경에서 정보 유출 가능성을 사전에 분석하고, 개발 도구의 보안 설정을 정확히 이해하여 철저히 이행하는 것이 무엇보다 중요합니다. 이에 대표적인 AI 기반 개발 도구인 Cursor AI의 보안 설정 방법을 세 가지로 나누어 살펴보겠습니다.

1) Privacy Mode 활성화 및 API 키 값 설정

Cursor AI의 프라이버시 모드(Privacy Mode)는 코드와 데이터의 보안을 강화하기 위한 기능입니다. 이 모드를 활성화하면, AI가 코드베이스를 인덱싱하거나 외부 서버로 데이터를 전송하지 않도록 설정되어 민감한 정보를 보호 가능합니다.
또한, 프라이버시 Mode를 활성화 하고 API 키를 사용하게 되면, Cursor AI의 개입 없이 직접 LLM에 요청을 전달할 수 있어 보안을 강화할 수 있습니다.(다만, 이용자 API 키 값 유출되지 않도록 주의)

✅ Privacy Mode 설정

- 개발 대상 프로젝트를 Load한 뒤, 설정(Settings) 클릭
- 설정(Settings)에서 ‘General’ 탭 하위목록에서 ‘Privacy Mode’ 옵션 클릭

✅ API 키 값 설정

- 개발 대상 프로젝트를 Loading 뒤 설정(Setting)을 클릭

- 설정에서 ‘API Keys’ 의 탭 이동하고 API 키 값을 입력하여 활용

2) 데이터 인덱싱 비활성화

Cursor AI의 프라이버시 모드(Privacy Mode) 이외 특정 디렉토리나 파일 접근을 제한하여 보안성을 높일 수 있습니다. 다만 인덱싱 비활성화는 AI에게 특정 코드에 대해 인덱스를 통해 접근 제한을 하는 것일 뿐, 이용자가 수동적으로 코드를 실행되거나 열람할 수 있습니다.
따라서, 본질적으로 보안수준을 높이기 위해서는 개발코드 자체를 암호화 해야 합니다.

✅ Cursorignore 파일 설정

- Cursorignore 파일은 Cursor AI가 자동 코드 추천, AI 분석, 인덱싱 시 무시해야 할 파일이나 디렉토리를 사전에 지정할 수 있는 설정 파일
- gitignore처럼 특정 경로나 파일을 지정해 AI의 컨텍스트 범위에서 제외 가능
- 설정 방법:
① Cursor 프로젝트의 루트 디렉토리 이동
② .cursorignore 파일 생성
③ 접근 금지 파일 또는 디렉토리 지정(.gitignore와 유사)

예시):

✅ Cursorindexingignore 파일 설정

- 해당 파일은 Cursor AI가 코드베이스를 스캔(인덱싱)할 때, 어떤 파일이나 폴더는 무시하고 건너뛰게 만드는 설정 파일
- .gitignore처럼 특정 경로나 파일을 지정해 AI의 컨텍스트 범위에서 제외 가능
- 설정 방법:
① Cursor 프로젝트의 루트 디렉토리 이동
② .cursorindexignore 파일 생성
③ 접근 제한할 경로 지정(.gitignore와 유사)

3) Rules for AI 설정

Cursor AI 의 규칙파일(Rules)을 통해 특정 코드 접근 제한, 민감한 데이터 보호, AI 응답 스타일 조정 등 다양한 설정 가능

✅ Project별 규칙(Rule) 설정

- Cursor 프로젝트 루트 디렉토리 이동
- .cursor/rules 폴더 생성하고 규칙파일 생성

예시):

✅ 전역 규칙 설정

- Settings > General > Rules for AI로 이동 또는 ~/.cursor/rules.yaml 파일을 통해 적용 전역 규칙 설정하여 원천적으로 이용자 또는 AI의 접근 통제

예시):
① 민감파일 접근 제한

② 특정 디렉토리 제한

③ 언어 및 응답 스타일 제한

✅ .Cursorrules 파일 설정

- .cursorrules 파일은 이전 버전의 규칙 파일로, 현재는 .cursor/rules 방식을 권장합니다.

예시):

04. 마무리

AI 기반 개발 도구는 효율성과 편의성을 제공하지만, 정보 유출이라는 리스크 역시 분명히 존재합니다. 단순히 도구를 사용하는 데 그치지 않고, 보안 기능을 정확히 이해하고 적절한 설정을 적용하는 것이 무엇보다 중요합니다.

본 칼럼에서 제시한 보안 설정 방안들을 사전에 검토하고 적용한다면, 보다 안전한 개발 환경을 구축하고 정보 유출 가능성을 효과적으로 줄일 수 있습니다. 아울러, 기업의 AI 개발 도구 환경에 맞는 보안 설정 체크리스트를 마련하고, 정기적인 점검과 교육을 통해 보안 수준을 지속적으로 유지·강화해 나가기를 권장합니다.

05. 참고자료

[1] LLM 애플리케이션을 위한 OWASP Top 10 (OWASP Top 10 for Large Language Model Applications,2025.03)
[2] NIST Special Publication 800-53: Security and Privacy Controls for Information Systems and Organizations(Revision 5, 2020.09)
[3] 금융분야 AI 보안 가이드라인(금융보안원, 2023.04)
[4] CNCF(Cloud Native Computing Foundation)Security Whitepaper(2024.03)
[5] Cursor AI: The AI-powered code editor changing the game (Daily.dev, 2024.08)
[6] Cursor AI Official Home page (https://cursor.com)
[7] Cursor AI Docs(Document and Tutorial)(https://docs.cursor.com/ko/welcome)

💌 후속 콘텐츠, 계속 받아보세요 ▶