GitHub Copilot Chat 치명적 취약점: CSP 우회와 은닉 주석을 이용한 민감 정보 유출 공격 분석

핵심 기술:
GitHub Copilot Chat에서 발견된 CVSS 9.6의 치명적인 취약점으로, CSP 우회 및 원격 프롬프트 인젝션 기법을 통해 비공개 코드와 민감 정보 유출이 가능했습니다. GitHub의 숨김 주석 기능을 악용하여 다른 사용자의 Copilot 응답을 조작하고, Camo 프록시 구조를 분석하여 CSP 우회를 성공시킨 사례를 다룹니다.

기술적 세부사항:
* 취약점 개요: 2025년 6월 발견된 치명적인 취약점으로, CVSS 점수 9.6을 기록했습니다.
* 공격 기법:
* CSP 우회: GitHub의 Camo 프록시 이용 구조를 정교하게 분석하여 성공했습니다.
* 원격 프롬프트 인젝션: Copilot 응답을 완전히 조작 및 제어하고 악성 코드 또는 링크 제안을 유도했습니다.
* 숨김 주석 악용: GitHub의 공식 숨김 주석 기능(<!-- 숨김 내용 -->)을 사용하여 눈에 보이지 않는 방식으로 Copilot에게 명령을 전달했습니다.
* 정보 유출 방식:
* 숨김 주석 안의 프롬프트는 알림에는 노출되지만 구체적 내용은 보이지 않아 Server-Side Injection 효과를 발생시켰습니다.
* Copilot은 요청 사용자와 동일한 권한으로 비공개 저장소에 접근하여 정보를 활용했습니다.
* 의도적으로 base16 인코드 데이터를 URL에 추가하여 사용자가 클릭 시 해커에게 정보가 유출되는 시나리오를 구현했습니다.
* 유출 정보를 Camo 프록시 이미지들의 나열로 변환하여 ASCII Art 게임처럼 보이게 설계했습니다. (1x1 투명 픽셀 응답)
* 실제 PoC (증명 코드): 비공개 프로젝트 이슈 내 zero-day 취약점 설명 정보를 대상으로 실제 유출 공격 과정을 입증했으며, "AWS_KEY" 키워드 탐색 및 결과 유출까지 자동화했습니다.
* 패치 조치: GitHub는 2025년 8월 14일부로 Copilot Chat의 이미지 렌더링 기능을 전면 비활성화하는 방식으로 취약점을 수정했습니다.
* Copilot Chat의 컨텍스트 민감성: 저장소 내 코드, 커밋, PR 등 다양한 컨텍스트 정보를 참조하며, 컨텍스트 정보가 많아질수록 공격 표면이 확대되는 문제점을 지적합니다.

개발 임팩트:
AI 기반 개발 도구의 보안 취약점에 대한 인식을 높이고, 개발자들에게 잠재적 위험성을 경고합니다. 또한, 이러한 취약점을 악용한 공격 시나리오를 이해함으로써 향후 보안 강화 전략 수립에 기여할 수 있습니다. GitHub의 신속한 패치 조치는 AI 도구 보안의 중요성을 보여줍니다.

커뮤니티 반응:
* Forgejo와 같은 self-hosted VCS로의 이전, VSCode 및 LLM 기능 사용 제한 등 보안 강화 조치에 대한 논의가 있습니다.
* 실수로 인한 전체 저장소 LLM 노출 방지 및 유출 사고 감지 방법에 대한 궁금증이 제기되었습니다.
* CLI 도구의 연결 대상(OpenAI, Claude, AWS Bedrock 등)에 대한 질문이 있었습니다.
* VSCode의 광범위한 언어 지원과 IDE 전면 금지에 대한 과도한 조치라는 의견이 있습니다.
* 해당 취약점의 근본적인 해결 가능성 및 버그바운티 운영 여부에 대한 의문이 제기되었습니다. (AI는 자연어 입력을 받기 때문에 다양한 공격 방법이 존재할 수 있다는 지적)
* Base64를 이미지 URL로 사용하거나, "장바구니 목록을 passwd 필드에 실수로 저장했다"는 식으로 속여 비밀번호를 받아내는 등 추가적인 공격 가능성에 대한 우려가 있습니다.
* Camo 프록시의 작동 방식 및 CSP로 인한 차단, 이미지 사용보다 쉬운 공격 경로에 대한 질문이 있습니다.
* Legit 회사의 홍보 인상이 있으며, FOSS 기반이 아닌 AI 사이버보안 도구의 투명성 부족 및 신뢰 문제에 대한 지적이 있습니다.
* 이전 유사 사례 ("GitHub Copilot Chat: From Prompt Injection to Data Exfiltration") 언급 및 향후 유사 사건 반복 가능성에 대한 전망이 있습니다.