CamoLeak: GitHub Copilot의 개인 소스 코드 유출 치명적 취약점

2025년 6월 발견된 **GitHub Copilot Chat의 치명적 취약점(CVSS 9.6)**은 비공개 저장소의 비밀과 소스 코드를 은밀히 유출하고, Copilot의 응답을 완전히 조작할 수 있었습니다.

이 공격은 GitHub 인프라를 이용한 CSP 우회와 원격 프롬프트 인젝션을 결합하여, Copilot이 유효한 Camo 프록시 URL로 구성된 이미지들을 악용해 민감 데이터를 외부로 전송하는 방식을 사용하였으며, GitHub는 이를 인지하고 Copilot Chat의 이미지 렌더링 기능을 완전히 비활성화하여 문제를 해결하였습니다.

본 취약점은 AI 기반 개발 도구의 컨텍스트 인식 기능이 공격 표면을 넓히는 위험성과, CSP 우회 기법을 통한 데이터 유출 가능성을 명확히 보여주어 보안 강화의 중요성을 시사합니다.