핵심 요약
주요 AI 코딩 에이전트들이 인증 토큰을 로컬에 평문으로 저장하여 보안에 취약함을 지적하고, OS 수준의 보안 저장소 사용 필요성을 강조한다.
배경
AI 코딩 에이전트가 로컬 환경에서 외부 코드를 실행하는 과정에서 인증 토큰이 어떻게 관리되는지 확인하기 위해 Codex CLI, Qwen Code, Claude Code의 자격 증명 저장 방식을 조사한 결과이다.
의미 / 영향
AI 코딩 에이전트가 로컬 시스템의 강력한 권한을 사용하는 만큼 자격 증명 관리의 보안 수준이 도구의 신뢰성을 결정하는 핵심 요소임이 확인됐다. 현재 주요 기업들의 도구에서도 평문 저장 방식이 발견되는 만큼 개발자들은 도구 선정 시 보안 아키텍처를 반드시 검토해야 한다.
커뮤니티 반응
보안 불감증에 대한 경고로 받아들여지며, 특히 대형 기업인 OpenAI와 Alibaba의 도구가 평문 저장을 택했다는 점에 비판적인 반응이 많다.
주요 논점
01찬성다수
AI 에이전트는 신뢰할 수 없는 코드를 실행하므로 OS 수준의 보안 저장소 사용이 필수적이다.
합의점 vs 논쟁점
합의점
- 평문 토큰 저장은 현대 소프트웨어 보안 기준에 미달한다
- Claude Code의 방식이 업계 표준이 되어야 한다
논쟁점
- 로컬 환경에서의 개발 편의성과 보안 사이의 균형 문제
실용적 조언
- Codex CLI나 Qwen Code 사용 시 토큰 파일의 접근 권한을 엄격히 제한하거나 사용 후 토큰을 폐기할 것
- 가급적 OS 보안 저장소를 지원하는 도구를 우선적으로 선택할 것
전문가 의견
- 2026년 시점에서 신뢰할 수 없는 코드를 실행하는 도구가 OAuth 토큰을 평문 JSON으로 저장하는 것은 용납될 수 없는 행위이다.
언급된 도구
Codex CLI비추천
OpenAI의 코딩 에이전트 도구
Qwen Code비추천
Alibaba의 코딩 에이전트 도구
Claude Code추천
Anthropic의 코딩 에이전트 도구
섹션별 상세
Codex CLI와 Qwen Code는 각각 ~/.codex/auth.json과 ~/.qwen/oauth_creds.json 경로에 인증 토큰을 평문 JSON 파일로 저장한다. 이 파일들은 암호화되지 않아 사용자 권한을 가진 모든 프로세스가 자유롭게 읽을 수 있는 구조이다. 특히 Qwen Code는 전 세계 모든 사용자에게 동일한 하드코딩된 OAuth 클라이언트 ID를 공유하여 배포하는 등 보안 관리가 미흡한 것으로 확인됐다.
Anthropic의 Claude Code는 macOS 키체인(Keychain)을 활용하여 자격 증명을 안전하게 관리한다. 운영체제 수준에서 암호화가 이루어지며, 외부 프로세스가 접근을 시도할 때마다 사용자 인증 팝업을 띄워 승인을 요구한다. 이는 단순히 파일을 읽어 토큰을 탈취하는 공격을 원천적으로 차단하는 설계이며 타 에이전트들과 대조되는 안전한 방식이다.
에이전트가 외부 리포지토리를 클론하고 코드를 실행하는 과정에서 발생할 수 있는 세 가지 공격 시나리오가 제시됐다. README 파일에 숨겨진 악성 명령어, npm 패키지 설치 시 실행되는 포스트인스톨 스크립트, 그리고 테스트 코드 내의 시스템 명령어를 통해 평문 토큰 파일을 외부 서버로 전송할 수 있다. 이러한 공격은 별도의 해킹 기술이나 권한 상승 없이도 수행 가능하다는 점에서 위험성이 매우 높다.
실무 Takeaway
- Codex CLI와 Qwen Code는 인증 토큰을 로컬에 평문으로 저장하여 심각한 보안 위험을 초래한다.
- Claude Code는 OS 수준의 보안 저장소를 활용하여 모범적인 보안 사례를 보여준다.
- AI 에이전트가 외부 코드를 실행하는 특성상 평문 토큰 저장은 악성 스크립트에 의한 탈취에 매우 취약하다.
- 탈취된 리프레시 토큰은 계정 권한 영구 탈취 및 대화 기록 유출 등 치명적인 피해로 이어진다.
- 모든 AI 도구 개발자는 OS 제공 보안 자격 증명 관리자 도입을 필수로 검토해야 한다.
AI 분석 전체 내용 보기
AI 요약 · 북마크 · 개인 피드 설정 — 무료