Google Antigravity IDE 보안 취약점 분석 및 대응 방안
Google Antigravity IDE 보안 취약점 분석 보고서
작성일: 2025년 11월 29일
1. 개요
Google은 2025년 11월 18일 AI 기반 IDE인 Antigravity를 출시했습니다. Gemini 3 Pro를 기반으로 하며, 2025년 7월 약 24억 달러에 Windsurf의 비독점 라이선스를 취득하여 개발되었습니다.
그러나 출시 24시간 이내에 여러 보안 연구자들이 심각한 취약점들을 발견했습니다.
| 항목 | 내용 |
|---|---|
| 제품명 | Google Antigravity IDE |
| 출시일 | 2025년 11월 18일 |
| 기반 기술 | Windsurf (24억 달러 라이선스), Gemini 3 Pro |
| 취약점 발견 | 출시 후 24시간 이내 |
| 주요 연구자 | Johann Rehberger (Embrace The Red), Mindgard, PromptArmor |
2. 발견된 취약점 상세
2.1 원격 코드 실행 (Remote Code Execution)
| 심각도 | 발견자 |
|---|---|
| Critical | Johann Rehberger (Embrace The Red) |
Antigravity IDE는 기본적으로 터미널 명령을 AI의 판단에 따라 자동 실행하도록 설정되어 있습니다. 공격자는 간접 프롬프트 인젝션을 통해 curl로 원격 스크립트를 다운로드하고 bash로 실행하는 방식으로 임의의 코드를 실행할 수 있습니다. |
Gemini 3와 Claude Sonnet 4.5 모델 모두에서 공격 성공
소스코드 파일, MCP 도구 응답, Linear 티켓 등 다양한 경로로 공격 가능
2.2 영구적 백도어 설치 취약점
| 심각도 | 발견자 |
|---|---|
| Critical | Mindgard (Aaron Portnoy) |
악성 워크스페이스가 전역 설정 디렉토리(~/.gemini/antigravity/)에 영구적인 백도어를 설치할 수 있습니다. |
핵심 문제점:
프로젝트를 닫아도 백도어 유지
Antigravity를 완전히 삭제하고 재설치해도 백도어 유지
가장 엄격한 보안 설정("Review-driven development")에서도 작동
Terminal execution policy가 "Off"로 설정되어 있어도 작동
2.3 데이터 유출 (Data Exfiltration)
| 심각도 | 발견자 |
|---|---|
| High | PromptArmor, Johann Rehberger |
| 웹페이지에 1px 크기의 폰트로 숨겨진 악성 지시문이 Gemini를 조종하여 사용자의 자격증명과 코드를 수집하고 외부로 전송할 수 있습니다. |
공격 체인:
개발자가 외부 가이드 문서 URL을 Antigravity에 제공
웹페이지에 숨겨진 프롬프트 인젝션 명령어 실행
.env파일이.gitignore에 등록되어 있어도cat명령어로 우회탈취한 데이터를 URL 인코딩하여 외부로 전송
기본 허용 도메인에
webhook.site포함 → 데이터 유출 용이
2.4 숨겨진 유니코드 태그 명령어
| 심각도 | 발견자 |
|---|---|
| High | Johann Rehberger |
| Gemini 모델은 보이지 않는 유니코드 태그 문자로 된 지시문을 해석하는 능력이 뛰어납니다. |
소스코드나 데이터 소스에 UI에서 보이지 않는 악성 명령어 삽입 가능
코드 리뷰로도 발견 불가능
Google Bard 시절부터 보고된 문제지만 여전히 미해결
2.5 MCP 서버 Human-in-the-Loop 부재
| 심각도 | 발견자 |
|---|---|
| High | Johann Rehberger |
| MCP(Model Context Protocol) 서버의 도구를 호출할 때 사용자 승인 없이 자동으로 실행됩니다. |
Linear 티켓 등 MCP 도구 응답에 숨겨진 악성 지시문 포함 가능
개발자의 워크스테이션 완전 침해 가능
데이터 유출, 코드 실행, 데이터 조작/삭제 모두 가능
3. 취약점 요약
| 취약점 | 심각도 | 발견자 | 영향 |
|---|---|---|---|
| 원격 코드 실행 | Critical | Embrace The Red | 시스템 완전 침해 |
| 영구적 백도어 | Critical | Mindgard | 재설치 후에도 지속 |
| 데이터 유출 | High | PromptArmor | 자격증명/코드 탈취 |
| 유니코드 태그 공격 | High | Embrace The Red | 탐지 불가 공격 |
| MCP HITL 부재 | High | Embrace The Red | 무단 도구 실행 |
4. Google의 대응
Google은 Bug Hunters 페이지에 알려진 이슈들을 문서화했으나, 일부 취약점을 "의도된 동작(Intended Behavior)"으로 분류했습니다.
데이터 유출 및 코드 실행은 Bug Bounty 대상에서 제외
Mindgard의 영구적 백도어 취약점은 "Won't Fix"로 처리
11월 25일: 문서를 조용히 업데이트하여 알려진 이슈의 범위 확장 (보고자들에게 미통보)
11월 25일 이후: 일부 보고서에 대해 제품팀 검토 진행 중
5. 공격 메커니즘 분석
5.1 Lethal Trifecta (치명적 삼각 구조)
보안 연구자들은 Antigravity의 취약점이 세 가지 위험 요소의 조합에서 비롯된다고 분석합니다:
신뢰할 수 없는 입력 접근 - 웹 브라우저, 외부 문서, MCP 서버 등
민감한 데이터 접근 - 소스코드, 환경변수, 자격증명 등
외부 통신 능력 - 인터넷으로 데이터 전송 가능
5.2 기본 설정의 문제점
Antigravity의 기본 설정은 보안보다 편의성을 우선시합니다:
| 설정 | 기본값 | 문제점 |
|---|---|---|
| Terminal Command Auto Execution | Auto | AI가 명령어 실행 여부 결정 |
| Review Policy | Agent Decides | Human-in-the-loop 제거 |
| Browser URL Allowlist | webhook.site 포함 | 데이터 유출 경로 제공 |
6. 권장 대응 방안
6.1 즉시 조치 사항
Auto-Execute 비활성화 - Terminal Command Auto Execution을 "Off"로 설정
webhook.site 제거 - Browser URL Allowlist에서 삭제
수동 승인 활성화 - 모든 터미널 명령과 브라우저 작업에 수동 승인 요구
MCP 서버 검토 - 위험한 도구 비활성화, 필요한 도구만 활성화
전역 설정 디렉토리 모니터링 -
~/.gemini/antigravity/디렉토리 변경 감시
6.2 장기적 권장사항
보안 패치가 완료될 때까지 프로덕션 환경에서 사용 자제
AI 에이전트에 노출되는 자격증명은 비프로덕션 계정으로 제한
유니코드 태그 탐지를 위한 CI/CD 도구 구축 고려
보안이 더 성숙한 대안 도구 검토 (Claude Code, GitHub Copilot, Cursor 등)
7. 설치만 해도 위험한가?
아니요, 단순 설치만으로는 위험하지 않습니다.
취약점이 트리거되려면 다음 조건이 필요합니다:
| 취약점 유형 | 트리거 조건 |
|---|---|
| 영구적 백도어 | 악성 워크스페이스를 "Trust"로 열고 AI에게 메시지 전송 |
| 데이터 유출/RCE | 악성 파일 열기, 악성 웹페이지 참조, 감염된 MCP 서버 연결 |
| 주의: 한번이라도 악성 워크스페이스를 열면 이후 재설치해도 백도어가 유지되므로, 출처가 불분명한 프로젝트는 절대 열지 마세요. |
8. 결론
Google Antigravity IDE는 출시 직후 심각한 보안 취약점들이 발견되어 현재 기업 환경에서의 사용이 권장되지 않습니다.
특히 이 취약점들 중 상당수가 Windsurf에서 이미 2025년 5월에 보고된 것들이며, Google이 24억 달러에 라이선스를 취득한 후에도 수정되지 않았다는 점이 우려됩니다.
AI 개발 도구가 점점 더 자율적이고 강력해짐에 따라, 보안에 대한 새로운 접근 방식이 필요합니다.