Cursor IDE, 7개월간 방치된 심각한 0-day 취약점

by DD
2시간 전
조회수 2

Cursor IDE에서 악성 git.exe 실행을 허용하는 심각한 0-day 취약점이 발견됨

사용자 상호작용 없이 코드 실행이 가능하며, 7개월간 패치되지 않아 논란 중

Cursor 측의 미흡한 대응과 소통 부재가 보안 신뢰성에 큰 의문 제기

사용자들은 격리된 환경(Isolated VM) 사용 등 임시 방어책 권고

Cursor의 git.exe 실행 메커니즘과 보안 위험

Cursor IDE는 프로젝트 로딩 시 작업 디렉토리(Workspace Directory) 내의 git 바이너리를 우선적으로 탐색합니다. 이 과정에서 악의적으로 조작된 `git.exe` 파일이 프로젝트 루트에 존재할 경우, 사용자 동의나 경고 없이 임의 코드 실행(Arbitrary Code Execution)으로 이어질 수 있습니다. 이는 데이터 격리 아키텍처(Data Isolation Architecture)가 부재한 환경에서 심각한 보안 위협으로 작용하며, 특히 Windows의 현재 작업 디렉토리 우선 탐색(Current Directory First Search) 특성과 결합될 때 취약성이 증폭됩니다.

7개월간 지속된 Cursor의 소통 부재와 책임론

Mindgard는 2025년 12월 15일 최초 보고 이후 7개월간 Cursor 측에 반복적인 업데이트 요청과 소통 시도를 했으나, 대부분 응답을 받지 못했습니다. 초기에는 HackerOne 버그 바운티 프로그램의 자동화 실패로 보고가 누락되었으나, 이후에도 진행 상황 공유나 패치 의지를 확인할 수 없었습니다. 이러한 비협조적인 태도는 Cursor의 보안 프로세스에 대한 근본적인 의문을 제기하며, 사용자들은 정보 비대칭(Information Asymmetry) 속에서 위험에 노출될 수 있다는 비판이 제기됩니다.

커뮤니티의 취약점 심각성 및 악용 시나리오 논쟁

일부 사용자는 악성 `git.exe` 파일이 미리 시스템에 존재해야 한다는 점에서 취약점의 심각성이 과장되었다고 주장합니다. 하지만 다른 의견으로는, 신뢰할 수 없는 저장소(Untrusted Repository)를 복제하고 IDE에서 열기만 해도 악성 코드가 실행될 수 있다는 점에서 공급망 공격(Supply Chain Attack)의 초기 단계로 악용될 수 있다고 반박합니다. 특히 Cursor의 AI 기반 코드 생성 및 자율 실행 기능과 결합될 경우, 잠재적 위험은 더욱 커질 수 있다는 우려가 있습니다.

임시 완화 조치와 장기적 보안 아키텍처의 필요성

현재로서는 Windows AppLocker 또는 EDR 솔루션을 통한 실행 차단이 임시 방편으로 제시됩니다. 하지만 이는 관리형 시스템(Managed Systems)에 국한되며, 개인 사용자에게는 가상 머신(VM) 또는 Windows Sandbox 사용이 권고됩니다. 장기적으로는 Cursor IDE 자체적으로 프로젝트 신뢰도 확인 절차(Project Trust Verification)를 강화하고, 실행 파일 탐색 로직(Executable Search Logic)에 대한 보안 검토를 통해 데이터 미저장 정책(Zero-Retention Policy)과 같은 보안 원칙을 준수하는 것이 필수적입니다.

Cursor 0day: When Full Disclosure Becomes the Only Protection Left