바이브코딩 플랫폼이 해킹의 통로가 될 때 — BBC 기자의 노트북을 장악한 제로클릭 공격

핵심 요약 (TL;DR)

바이브코딩 플랫폼 Orchids에서 제로클릭 취약점이 발견됐습니다. 보안 연구원이 수차례 경고했지만 묵살됐고, 결국 BBC 기자의 노트북이 원격으로 장악되는 시연이 이뤄졌습니다. 바이브코딩을 시작할 때 "어떤 플랫폼을 쓰느냐"도 보안 결정이라는 점을 보여주는 사례입니다.

바이브코딩 도구를 고를 때 뭘 기준으로 선택하시나요? 사용 편의성, 가격, AI 모델 성능? 여기에 하나 더 추가해야 할 항목이 생겼습니다 — 보안입니다.

클릭 한 번 없이 노트북이 뚫렸다?

BBC 사이버 담당 기자 Joe Tidy는 Orchids라는 바이브코딩 플랫폼에서 뉴스 웹사이트 기반 게임을 만들고 있었습니다. Orchids는 텍스트 프롬프트만으로 앱을 만들 수 있는 AI 코딩 플랫폼이거든요.

사이버보안 연구원 Etizaz Mohsin은 2025년 12월, Orchids에서 제로클릭 취약점을 발견합니다. 제로클릭이란 피해자가 아무것도 클릭하거나 다운로드하지 않아도 공격이 성립한다는 뜻입니다. 이메일, LinkedIn, Discord를 통해 수차례 경고를 보냈지만, Orchids 측은 무응답이었습니다. 나중에 돌아온 답변은 "팀이 인바운드 메시지에 압도되어 놓쳤을 수 있다"는 것이었거든요.

해킹 시연은 어떻게 이뤄졌나?

Mohsin은 Tidy의 Orchids 프로젝트에 무단 접근한 뒤, 코드에 악성 라인을 삽입했습니다. 그 결과 — Tidy의 노트북 바탕화면이 변경되고 "Joe is hacked"라는 메모장 파일이 생성됐습니다. 별도의 클릭이나 다운로드 없이, 원격 코드 실행이 이뤄진 겁니다.

플랫폼의 인증 및 입력 처리 메커니즘이 근본적으로 취약했고, 프로젝트 간 격리도 되지 않았던 게 원인이었습니다. 이전에 화제가 됐던 Moltbook 사건이 "바이브코딩으로 만든 앱"의 보안 문제였다면, Orchids는 "바이브코딩 플랫폼 자체"의 보안 문제입니다. 층위가 다른 거죠.

바이브코더가 플랫폼을 고를 때 확인해야 할 것

코드를 이해하지 못하더라도, 최소한 세 가지는 확인할 수 있습니다.

1. 플랫폼이 보안 취약점 제보에 얼마나 빠르게 대응하는지 (보안 연락 채널이 있는지)
2. 프로젝트 간 격리가 제대로 되어 있는지 (다른 사용자의 프로젝트에 접근 불가능한지)
3. 과거 보안 이슈 이력과 대응 방식

바이브코딩은 코딩의 진입장벽을 낮춰주지만, 보안의 책임까지 없애주진 않습니다. 플랫폼 선택이 곧 보안 결정이라는 점, 기억해두시면 좋겠습니다.

FAQ

제로클릭 공격이 정확히 뭔가요?

일반적인 해킹은 피해자가 악성 링크를 클릭하거나 파일을 다운로드해야 성립합니다. 제로클릭은 그런 행위 없이도 시스템에 침투할 수 있는 공격 방식입니다. 플랫폼 자체의 취약점을 이용하기 때문에 사용자 입장에서 막기가 어렵습니다.

다른 바이브코딩 플랫폼도 같은 위험이 있나요?

모든 플랫폼이 동일한 취약점을 가진 건 아닙니다. 다만 사용자의 코드가 플랫폼 서버에서 실행되는 구조라면, 플랫폼의 보안 수준이 사용자의 보안 수준을 결정합니다. Cursor, Claude Code처럼 로컬에서 실행되는 도구와 클라우드 기반 플랫폼은 위험 프로필이 다릅니다.

바이브코딩을 안전하게 하려면 어떻게 해야 하나요?

보안 이력이 투명한 플랫폼을 선택하고, 민감한 데이터는 바이브코딩 프로젝트에 직접 넣지 마세요. 가능하다면 로컬 개발 환경을 활용하는 것이 클라우드 플랫폼보다 보안 리스크가 낮습니다.

관련 글: 코딩 경험 제로인 기자들이 Claude Code로 게임을 만들어본 결과