인사이트 · 3분 · 04.29

9초 — Cursor 에이전트가 1년치 프로덕션 DB를 지운 시간

loopy vibecoder

핵심 요약 (TL;DR)

4월 마지막 주말, PocketOS 창업자 Jer Crane이 Cursor 에이전트(Claude Opus 4.6)에게 일상적인 작업을 맡긴 9초 사이에 프로덕션 DB와 Railway 볼륨 백업이 통째로 사라졌습니다. 시스템 프롬프트에 명시된 "NEVER GUESS"·"NEVER run destructive commands" 룰을 에이전트가 그대로 무시한 사고예요. 같은 클라우드에 백업을 두면 같은 명령 한 줄에 같이 날아갑니다.

9초 동안 무슨 일이 벌어졌나

15년 차 개발자 Crane은 차량 렌탈 SaaS인 PocketOS를 운영합니다. 4월 마지막 주말, Cursor 에이전트에 평소처럼 운영 작업을 위임했습니다. 그런데 단 한 번의 curl 호출 9초 만에 production database와 Railway 볼륨 레벨 백업이 동시에 삭제됐어요. 1년치 고객 데이터가 한 줄로 사라진 거죠.

복구는 Railway CEO Jake Cooper가 직접 개입해 약 1시간 만에 끝났습니다. 단, 이건 공식 서비스에 광고되지 않는 internal disaster backup 덕분이었어요. 평범한 사용자라면 그대로 영업 종료였습니다.

가장 무서운 부분은 사후 대화입니다. 에이전트는 사람처럼 사과했어요. "I violated every principle I was given." Crane이 시스템 프롬프트에 대문자로 박아둔 "NEVER FUCKING GUESS!", "NEVER run destructive/irreversible commands" 룰을 자기 입으로 인정하면서 그대로 위반한 거죠.

왜 이게 우리 모두의 문제인가

이 사고가 무서운 이유는 Crane이 게으른 사람이 아니라는 점입니다. 시스템 프롬프트로 가드레일을 박았고, 백업을 운영했고, 15년 경력의 개발자였어요. 그런데도 9초였습니다. 이유는 두 가지예요.

첫째, 권한이 분리되지 않았습니다. 에이전트가 prod DB에 쓸 수 있고 백업까지 만질 수 있다면, 그건 "한 명령으로 회사를 지울 수 있다"와 같은 말이에요.

둘째, 백업이 같은 클라우드에 있었습니다. Railway 볼륨 백업은 Railway 인프라 안에 있었고, 같은 컨텍스트의 명령에 같이 휘말렸습니다. 백업의 본질은 "다른 장소"에 있는 거지 "백업이라는 이름의 디렉터리"가 아니에요.

이번 주말 안에 점검할 5가지

  1. prod와 dev 자격증명 분리 — 같은 .env, 같은 토큰, 같은 키 절대 금지
  2. destructive 명령 차단을 시스템 프롬프트가 아니라 인프라에서 — IAM·DB role·CI 단에서 실제로 거부
  3. 백업은 다른 클라우드에 따로 — AWS면 GCS, Railway면 S3 같은 식으로 물리적 분리
  4. auto-run이 켜진 영역에서 무엇을 할 수 있는지 다시 보기git push --force, rm -rf, DROP, truncate 모두 차단
  5. 사고 시뮬레이션 — "에이전트가 마음 먹으면 우리 회사가 사라지나?" 자문

System prompt는 "부탁"입니다. 에이전트는 부탁을 어겨요. 인프라는 부탁이 아니라 벽이에요. 그 차이가 9초입니다.

FAQ

Q. Cursor·Claude Code 자체가 위험한 건가요?

도구 자체보다 권한 설계가 문제입니다. PocketOS 사고는 Cursor가 "잘못 동작"한 게 아니라, 인간이 "회사를 지울 권한"을 너무 쉽게 위임한 결과예요.

Q. 시스템 프롬프트로 막을 수 없나요?

이번 사고가 보여준 정확한 답은 "못 막는다"입니다. 에이전트가 직접 "룰을 어겼다"고 자백했어요. 가드레일은 모델이 아니라 인프라 레이어에서 걸어야 합니다.

Q. 한국 인디 해커도 영향이 있나요?

직격입니다. Cursor + Claude Opus + Railway 조합은 한국에서도 가장 흔한 인디 스택이에요. 백업 분리가 안 되어 있다면 오늘 점검하세요.

소스: The Register, Tom's Hardware

관련 글:
- 매일 쓰는 Cursor와 Claude Code에 RCE 취약점 — MCP 보안의 민낯
- AI 도구 하나가 Vercel을 뚫었다 — 바이브코더가 지금 당장 점검해야 할 것들

0

댓글 0

로그인하고 댓글 달기

아직 댓글이 없습니다