오픈AI 새 브라우저 ‘아틀라스’, 보안위협 우려 확산

By곽중희

오픈AI(OpenAI)가 최근 공개한 챗GPT 기반 웹 브라우저 ‘아틀라스(Atlas)’가 심각한 보안 위협에 노출됐다는 우려가 제기됐다.

25일 미국 테크 매체 와이어드(Wired)에 따르면, 오픈AI의 웹 브라우저 아틀라스는 웹페이지에 숨겨진 지시를 인공지능(AI)이 그대로 수행할 수 있는 ‘프롬프트 인젝션(Prompt Injection)’ 공격에 노출될 가능성이 있다는 지적이 나왔다.

아틀라스는 웹페이지 내용을 챗GPT가 직접 읽고 해석하는 구조로 설계돼 있다. 이 때문에 웹 콘텐츠 안에 숨겨진 문구나 지시문이 인공지능(AI)의 입력으로 인식될 경우, 모델이 이를 명령으로 오해해 의도치 않거나 위험한 동작을 수행할 가능성이 있다는 것이 문제의 핵심이다.

아틀라스에는 오픈AI가 올해 초 선보인 ‘챗GPT 오퍼레이터’ 기술이 적용돼 있다. 오퍼레이터는 사용자를 대신해 웹사이트 탐색, 버튼 클릭, 양식 작성 등 여러 단계를 자동으로 수행하는 AI 에이전트 도구다.

아틀라스 브라우저의 ‘에이전트 모드’를 활성화하면 챗GPT가 오퍼레이터를 통해 실제 웹 상호작용을 수행하게 된다. 이 기능을 통해 사용자는 검색·문서 작성·사이트 조작까지 자동으로 처리할 수 있지만, 동시에 AI가 웹 페이지의 지시를 실제 행동으로 옮길 수 있는 구조이기도 하다. 바로 이 점이 프롬프트 인젝션 공격의 주요 진입 경로로 지목된다.

AI 브라우저 노리는 간접형 프롬프트 인젝션

프롬프트 인젝션은 AI 모델의 입력을 조작해 동작을 바꾸는 공격 기법이다. 공격자가 명령어를 직접 입력창에 삽입하는 ‘직접형’, 그리고 AI가 읽는 웹페이지나 문서에 명령을 숨겨 AI 스스로 실행하게 만드는 ‘간접형’으로 나뉜다.

아틀라스의 구조는 간접형 인젝션의 영향을 받을 수 있다. 웹 콘텐츠를 대규모언어모델(LLM)에 그대로 전달해 처리하기 때문에 공격자가 숨겨둔 지시문이 모델의 프롬프트로 포함될 가능성이 높다는 것이다.

프롬프트 인젝션 연구를 체계화한 보안 전문가 ‘요한 레베르거(Johann Rehberger, 미국 보안기업 Wunderwuzzi LLC 대표)’는 구글 문서에 ‘화면을 밝게 전환하라’는 문구를 숨긴 뒤, 아틀라스가 이를 실제로 실행하는 시연을 공개했다. 이 사례는 사용자가 단순히 문서 요약을 요청했을 뿐인데, 문서 내부의 지시가 AI의 행동을 바꿀 수 있음을 보여준다.

레베르거는 AI의 보안 위협을 다룬 논문 ‘Trust No AI: Prompt Injection Along The CIA Security Triad’에서 프롬프트 인젝션이 보안의 세 핵심 원칙인 ▲기밀성 ▲무결성 ▲가용성을 모두 위협한다고 분석했다.

그는 실제 서비스에서 데이터 유출, 출력 조작, 서비스 마비가 발생할 수 있음을 구체적인 사례로 제시했다. 기밀성 측면에서는 마크다운 이미지 주소나 링크 미리보기 기능을 악용해 대화 내용이나 내부 데이터를 외부 서버로 전송할 수 있고, 무결성 영역에서는 AI가 공격자가 지정한 내용으로 출력을 왜곡하거나, 유니코드 태그를 이용해 링크를 조작하는 ‘ASCII 스머글링(ASCII Smuggling)’ 공격이 가능하다. 가용성 측면에서는 악성 루프를 만들어 AI가 무한 반복 상태에 빠지게 하거나, 메모리 기능에 악성 지시를 저장해 지속적으로 동작을 왜곡하는 ‘SpAIware’ 공격이 보고됐다.

또 AI가 자동으로 툴(도구)을 호출하는 기능을 악용할 경우, 사용자 승인 없이 이메일을 전송하거나 설정을 바꾸는 등 민감 작업이 수행될 수 있다는 문제점도 있다. 일부 플러그인에서는 이러한 기능이 실제로 악용돼 데이터가 외부로 유출된 사례가 존재한다.

국내 AI 보안 전문 스타트업 ‘에임인텔리전스’는 이 같은 프롬프트 인젝션이 AI의 안전성과 보안성, 두 측면 모두에서 심각한 영향을 미치는 위협이라고 분석했다.

에임인텔리전스 관계자는 “AI가 개발자의 설계 의도에서 벗어나 허위·유해 정보를 생성하는 ‘탈옥(Jailbreak)’ 문제는 안전성 위협이지만, 아틀라스처럼 시스템 접근 권한을 가진 AI 브라우저에서는 보안 위험이 훨씬 더 크다”고 말했다. 이어 “AI가 사용자 카드 내역·이메일 등 민감 데이터에 접근할 수 있는 환경이라면, 프롬프트 인젝션을 통해 다른 이용자의 정보를 유출하거나 악성 링크를 클릭하게 하는 공격이 가능하다”며 “이는 단순한 생성형 AI의 답변 오류가 아니라 실제 해킹이나 정보 유출로 이어질 수 있다”고 설명했다.

가드레일로 ‘AI 속이기’ 막는다

전문가들은 이러한 간접 프롬프트 인젝션 공격에 대응하기 위한 핵심 기술로 ‘가드레일’ 솔루션을 꼽는다. 가드레일은 AI 시스템과 사용자 사이에서 입력과 출력을 모두 필터링하는 일종의 미들웨어 보안 장치로, 악성 명령이나 민감 정보가 AI에 도달하지 않도록 차단한다. 반대로 AI가 위험하거나 부적절한 응답을 내보내는 경우 이를 탐지해 막는다.

에임인텔리전스 관계자는 “현재 상용화된 AI 브라우저의 경우 오픈AI의 ‘챗GPT 오퍼레이터’나 앤트로픽의 ‘클로드 컴퓨터 유즈 에이전트’처럼 사용자의 컴퓨터를 직접 제어하거나 파일·이메일·웹사이트 접근 권한을 가지는 구조”라며 “이들 에이전트는 사용자의 개입이나 감시 없이 의사결정을 내리고 실제로 클릭·전송 등의 행동을 수행할 수 있다. 이러한 환경에서는 AI가 조작된 프롬프트를 통해 잘못된 메일을 작성하고 스팸 메일 링크를 클릭해 악성코드 감염을 유발하는 시나리오도 가능하다”고 설명했다.

이어 그는 “따라서 AI 브라우저 대상의 프롬프트 인젝션 공격을 막기 위해서는 AI 시스템에 가드레일 솔루션을 병행 적용해야 한다”고 덧붙였다.

가드레일 솔루션은 입·출력값을 모두 감시하며, 사용자와 AI 시스템 사이의 보안 게이트로 작동한다. 사용자가 AI 시스템에 민감 정보나 악의적 명령을 주입하려 하면 이를 차단하고, AI가 생성한 응답 중 부적절하거나 위험한 내용이 포함될 경우 사용자에게 전달되기 전에 탐지·검열해 출력 단계에서 걸러낸다.

에임인텔리전스 관계자는 “가드레일은 단순한 AI 필터가 아니라 입·출력값을 모두 모니터링해 AI가 속거나 속이지 않도록 방어하는 ‘AI용 방화벽’ 역할을 수행한다”고 말했다.

한 보안업계 관계자는 “가드레일은 민감정보나 악성 프롬프트가 AI에 전달되기 전 단계에서 차단하고, AI의 부적절한 출력도 사용자에게 노출되지 않게 하는 이중 안전장치 역할을 한다”며 “AI가 사람 대신 행동하고 의사결정을 내리는 시대에는 이런 중간 계층 보안이 핵심이 될 것”이라고 강조했다.

아틀라스는 AI와 웹을 결합한 첫 상용 브라우저로 평가받지만, 전문가들은 편리함보다 중요한 것은 AI가 속지 않도록 설계하고 사람이 이를 지속적으로 감독하는 구조라고 강조한다. AI가 사용자의 도우미 역할을 넘어 실제 행동 주체로 확장되는 만큼, 가드레일과 같은 AI가 속지 않게 하는 보안 기술의 중요성은 더욱 커질 전망이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.