무슨 일이 있었나
Microsoft는 2026년 6월 9일 Patch Tuesday의 일부로 CVE-2026-40376을 공개했으며, VS Code 1.119.1에서 수정되었습니다. Visual Studio Code의 Model Context Protocol(MCP) 서버 통합의 부적절한 입력 검증으로 인해 인증되지 않은 네트워크 공격자가 사용자 상호작용을 통해 MCP Server의 관리형 ID와 관련된 권한을 얻을 수 있습니다. CVSS 3.1 기본 점수는 7.5(AV:N/AC:H/PR:N/UI:R)입니다. Microsoft는 악용 가능성을 낮게 평가했으며, 공개 시점에 공개 익스플로잇 또는 실제 악용 사례가 보고되지 않았습니다.
왜 중요한가
VS Code는 AI 개발자들을 위한 지배적인 IDE이며, 개발자, AI 코딩 에이전트(GitHub Copilot, Claude Code 확장, Cursor), 클라우드 ID 및 MCP 도구 서버 간의 중개자로 점점 더 많이 사용되고 있습니다. 관리형 ID는 집중된 영향 범위를 나타내며, 저장된 자격증명을 요구하지 않고 MCP 서버로 범위가 지정된 클라우드 리소스(Azure, GCP, AWS)에 대한 액세스를 부여합니다. 관리형 ID 권한을 얻은 공격자는 비밀을 읽거나, 클라우드 AI 서비스를 호출하거나, 벡터 데이터베이스에 액세스하거나, AI 워크로드 인프라로 확대할 수 있습니다. 이는 세계에서 가장 많이 사용되는 AI 개발 환경의 직접적인 MCP 표면 취약점입니다.
공격 경로
네트워크 도달 가능한 공격으로 이전 권한이 필요하지 않지만 사용자 상호작용이 필요합니다. MCP 서버 경계에서의 부적절한 입력 검증을 악용하여 MCP Server 프로세스에 할당된 관리형 ID를 가장하거나 상속합니다.
영향받는 시스템
MCP Server 통합이 관리형 ID로 구성된 경우 Microsoft Visual Studio Code < 1.119.1(모든 플랫폼: Windows, macOS, Linux)
완화 방안
VS Code를 버전 1.119.1 이상으로 업데이트하세요. 모든 MCP Server 통합을 감사하고 관리형 ID 범위 할당을 검토하세요 — MCP 서버 ID에 최소 권한을 적용하세요. MSRC 권고: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40376