인기 AI 기반 코딩 환경 커서(Cursor)에서 치명적인 보안 취약점인 '제로데이(0-day)'가 발견되었음에도 불구하고, 개발사가 7개월 넘게 이를 방치하고 있다는 충격적인 보고가 나왔습니다. 보안 기업 마인드가드(Mindgard)는 2025년 12월 이 문제를 커서 측에 알렸으나, 수많은 버전 업데이트에도 불구하고 2026년 7월 현재까지 해결되지 않았다고 밝혔습니다. 이로 인해 700만 명 이상의 활성 사용자가 잠재적인 위험에 노출되어 있습니다.
이 취약점은 매우 간단하지만 파괴적입니다. 윈도우(Windows) 환경에서 개발자가 악성 'git.exe' 파일을 포함한 프로젝트를 커서로 열기만 하면, 사용자 상호작용이나 경고 없이 해당 악성 코드가 자동으로 실행됩니다. 커서는 프로젝트 로딩 시 작업 공간 내에서 깃(Git) 실행 파일을 찾는 과정에서 이 문제가 발생하며, 심지어 프로젝트가 열려 있는 동안에도 반복적으로 악성 코드를 재실행할 수 있습니다. 마인드가드는 개념 증명(PoC)으로 'git.exe'로 이름을 바꾼 윈도우 계산기 앱을 이용해, 커서가 자동으로 계산기를 여러 번 실행하는 것을 시연했습니다.
마인드가드는 초기 보고 이후 여러 차례 커서 측에 연락을 시도했으나, 초기에는 내부 자동화 오류로 보고서가 누락되었고, 이후에는 '정보성' 또는 '범위 외'로 분류되는 등 무책임한 대응을 보였습니다. 결국 마인드가드는 사용자 보호를 위해 이 취약점을 공개(Full Disclosure)하기에 이르렀습니다. 이러한 상황은 600억 달러의 시장 가치를 가진 것으로 알려진 커서가 보안 관행에 대한 존중이 부족하다는 비판을 피하기 어려울 것으로 보입니다. 사용자들은 커서가 패치될 때까지 신뢰할 수 없는 저장소는 가상 머신(VM)이나 윈도우 샌드박스(Windows Sandbox) 같은 격리된 환경에서만 열어야 합니다.
