AI 에이전트 SNS ‘몰트북’ 보안 논란, 왜 위험한가?
인증 토큰·이메일·비공개 메시지 노출 우려…“현관문에 자물쇠 안 채운 상태”
인공지능(AI) 에이전트 전용 사회관계망서비스(SNS)로 알려진 ‘몰트북(Moltbook)’에서 보안·개인정보 유출 위협이 다수 발견되면서 우려가 커지고 있다.
지난 31일 인공지능(AI) 전문 매체 ‘임플리케이터’는 몰트북의 백엔드 설정 오류로 AI 에이전트의 애플리케이션 프로그래밍 인터페이스(API) 키와 데이터가 외부에 노출될 수 있었다고 보도했다. 보안기업 위즈(Wiz)는 몰트북에서 API 인증 토큰 약 150만개, 이메일 주소 3만5000개, 에이전트 간 비공개 메시지가 인증 없이 노출된 상태였다고 분석했다. 특히 위즈는 운영 데이터베이스에 읽기·쓰기 권한이 열려 있었다고 평가했다. 이는 공격자가 토큰을 확보하면 비밀번호 없이도 에이전트 계정을 가장해 활동할 수 있는 상태를 보여준다. 보안 연구자 제임슨 오라일리는 이 상황을 두고 “사실상 현관문에 자물쇠를 채우지 않은 상태였다”고 비유했다.
몰트북은 사람이 아니라 AI 에이전트가 글을 올리고 댓글을 달며 서로 대화하는 구조로 운영된다. 사용자는 주기적으로 접속해 에이전트에 역할과 목표를 부여하고, 에이전트는 그 지시에 따라 활동한다. 하지만 보안 관점에서 보면, 에이전트는 단순한 ‘콘텐츠 생성자’에 그치지 않을 수 있다. 에이전트가 외부 서비스와 연결돼 있으면 데이터 조회·정리·전송 같은 작업까지 수행할 수 있다. 이 때문에 인증 정보가 노출되면 공격자가 사용자를 가장해 여러 작업을 실행할 수 있다는 우려가 나온다.
토큰 탈취부터 표적 피싱까지, 몰트북에서 드러난 보안 위협
전문가들이 지목한 몰트북의 보안 위협은 크게 세 가지로 정리된다. 첫째는 ‘인증 토큰 노출’이다. 토큰은 서비스가 ‘이 사용자는 로그인한 상태’임을 판단할 때 쓰는 접속 증표에 가깝다. 위즈는 몰트북에서 API 인증 토큰 약 150만개가 노출될 수 있었다고 분석했다. 토큰이 공격자 손에 들어가면 비밀번호를 몰라도 계정을 가장해 활동할 수 있다. 계정 소유권을 직접 빼앗지 않더라도, 사용자처럼 행동할 수 있는 통로가 열린다.
둘째는 ‘이메일 주소 노출’이다. 이메일은 개인정보이자 공격자가 가장 쉽게 악용하는 표적 중 하나다. AI 개발자나 에이전트 운영자가 모이는 공간에서는 “API 키 갱신” “보안 점검” 같은 문구로 속이는 표적형 피싱이 더 정교해질 수 있다. 위즈는 몰트북에서 이메일 주소 3만5000개가 노출될 가능성도 제기했다.
마지막은 ‘에이전트끼리 나누는 비공개 메시지가 노출되는 것’이다. 비공개 메시지에는 단순 대화뿐 아니라 업무 지시, 외부 서비스 연결 단서가 담길 수 있다. 메시지가 노출되면 공격자는 사용자를 흉내 내는 수준을 넘어 에이전트가 어떤 도구를 어떤 흐름으로 쓰는지 맥락을 파악할 수 있다. 공격자는 맥락 정보를 통해 후속 공격을 더 정교하게 만들 수도 있다.
설정 오류가 만든 ‘접근 통제 결함’…RLS 빠지면 위험
토큰·이메일·비공개 메시지 노출 우려는 결국 운영 데이터에 대한 접근 통제로 이어진다. 보안 전문가들이 언급한 ‘행 단위 보안(RLS, Row Level Security)’이 대표적이다. RLS는 데이터베이스에서 사용자별로 조회·수정 가능한 데이터 행(레코드)을 제한하는 접근 통제 기술이다. 이 통제가 빠지면 사용자별로 허용된 접근 범위가 무너질 수 있다. 누군가가 API 키나 토큰 같은 접근 단서를 확보했을 때 다른 사용자 데이터까지 접근할 가능성이 생긴다.
보안 연구자 제임슨 오라일리는 몰트북이 사용하는 수파베이스(Supabase) 데이터베이스에서 RLS를 활성화하지 않은 설정 오류를 발견했다고 밝혔다. 그는 몰트북에 등록된 3만2000개 이상의 AI 에이전트와 관련된 API 키, 클레임 토큰, 인증 코드, 소유자 관계 정보 등이 인터넷 URL 접속만으로 접근 가능한 상태였다고 설명했다. 그는 “이 결함을 해결하는 데 필요한 것은 단 두 줄의 SQL(데이터베이스에 어떤 데이터를 조회하거나 수정할지 지시하는 명령문) 뿐이었지만, 서비스가 확산되는 동안 해당 코드는 존재하지 않았다”고 지적했다.
에이전트는 사람이 화면을 하나씩 누르지 않아도 요청에 따라 자동으로 조회하고 정리한다. 접근 범위가 넓어지는 순간 데이터ㄹㄹ 처리하는 속도도 함께 빨라질 수 있다. 몰트북 같은 AI 에이전트 관련 서비스가 더욱 위험한 이유가 여기에 있다.
“권한 위임 구조라 피해 커질 수 있어”…전문가가 본 몰트북의 위험성
전문가들은 “AI 에이전트의 기술적 허점이 곧바로 사고로 이어지는지 여부는, 서비스가 권한 통제를 어떻게 설계하는지에 달려 있다”고 본다.
염흥열 순천향대학교 정보보호학과 명예교수는 “AI 에이전트는 사람이 AI한테 자기 권한을 위임해 주는 구조”라고 말했다. 그는 “외부 해커가 AI 에이전트를 통제하게 되면 위임받은 권한 범위 안에서 행동할 수 있어 큰 문제가 발생할 수 있다”고 했다.
염 교수는 설계 단계에서 ‘프라이버시 바이 디자인(Privacy by Design)’과 ‘시큐리티 바이 디자인(Security by Design)’을 함께 적용해야 한다고 강조했다. 개인정보는 최소로 쓰고 목적을 제한해야 한다는 설명이다. 특히 그는 “키·토큰 같은 비밀정보도 처음부터 안전하게 다루도록 설계해야 한다”며 “에이전트가 서로 통신하는 환경이 커질수록 신원 확인과 인증정보(크리덴셜, Credential) 관리 같은 신뢰 체계가 중요해진다”고 덧붙였다.
AI 보안 전문기업 이로운앤컴퍼니는 이번 사안을 “RLS 미적용으로 데이터가 무방비 상태가 된 상황”으로 평가했다. 이로운앤컴퍼니 관계자는 “특정 역할의 AI 에이전트가 역할 범위를 넘어 다른 민감 정보까지 조회하는 식의 권한 초과가 생길 수 있다”고 우려했다. 이어 그는 “특히 AI가 자연어 요청을 받아 데이터베이스 질의문을 자동 생성하는 구조가 붙을 때 위험이 커질 수 있다”며 “애플리케이션 단계에서 제한을 둬도 설계가 허술하면 ‘전체 고객 데이터 조회’ 같은 위험한 질의가 실행될 여지가 생길 수 있다”고 말했다. 이 관계자는 “프롬프트 인젝션처럼 공격자가 자연어 명령으로 에이전트를 속여 규칙을 벗어난 행동을 유도하는 공격 표면도 커질 수 있다”고 덧붙였다.
대응은 ‘보안 기본기’…키·권한·입력값 통제 강화해야
전문가들은 몰트북 같은 AI 에이전트의 보안 위협에 대응하는 출발점은 “보안의 기본 원리, 통제 방식을 점검하는 것”이라고 강조한다.
이로운앤컴퍼니 관계자는 “인증 토큰과 API 키 같은 민감 정보를 코드에 그대로 두는 관행을 줄여야 한다. 하드코딩을 피하고 환경 변수나 전용 저장소로 키를 분리해 관리해야 한다”며 “운영 과정에서는 유출 여부를 점검하는 절차가 따라야 한다”고 설명했다.
접근 통제는 데이터베이스 단계에서 허용된 정보만 보게 설정해야 한다. 이로운앤컴퍼니 관계자는 “RLS처럼 사용자별 데이터 범위를 제한하는 정책이 빠지면 앞단에서 공격을 막아도 운영 데이터가 노출될 수 있다”며 “여러 사용자 데이터가 한 데이터베이스에 들어가는 구조라면 데이터 격리는 전제가 돼야 한다”고 설명했다.
에이전트에게 부여하는 권한 설계 방식도 달라져야 한다. 염 교수는 “편의를 위해 에이전트에게 통제권을 너무 많이 주는 구조를 경계해야 한다”고 설명했다. 읽기와 쓰기 권한을 분리하고, 외부 전송·삭제·결제처럼 위험도가 큰 작업은 사람 확인 단계를 두는 방식이 대표적이다. 그는 “입력값 통제도 중요하다. 에이전트가 외부 입력을 그대로 명령으로 받아들이지 않도록 검증을 두고, 정책 우회를 유도하는 문장을 걸러내는 장치가 필요하다“고 덧붙였다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
