AI가 사용자 대신 브라우징하고 쇼핑까지 해주는 에이전트 브라우저가 새로운 사이버 보안 위협을 만들고 있습니다. 기존 사기 수법도 AI에겐 새로운 무기가 되고, 보이지 않는 프롬프트 공격까지 등장했습니다.
AI가 나 대신 인터넷을 탐험하는 시대
Microsoft Copilot이 Edge 브라우저에 내장되고, OpenAI가 ‘에이전트 모드’를 실험하며, Perplexity의 Comet이 본격적으로 출시되면서 AI 에이전트 브라우저가 현실이 되었습니다. 이들은 단순히 검색 결과를 요약해주는 수준을 넘어, 사용자 대신 웹사이트를 탐색하고 클릭하며 심지어 온라인 쇼핑까지 완성합니다.
Perplexity만 해도 월간 7억 8천만 건의 검색을 처리하며, 전 세계 238개국에서 사용되고 있습니다. 사용자들은 평균 23분 이상 플랫폼에 머물며, 85%가 재방문합니다. 편리함은 확실합니다. 하지만 이 편리함에는 대가가 따릅니다.
오래된 사기 수법, AI에겐 새로운 위협
보안 연구업체 Guard.io가 Perplexity Comet을 대상으로 실시한 테스트 결과는 충격적입니다. AI는 인간이라면 의심했을 만한 상황에서도 아무런 경계 없이 행동했습니다.
가짜 쇼핑몰의 함정
연구진이 10초 만에 만든 가짜 월마트 사이트에서 “애플 워치 사줘”라고 요청했을 때, Comet은 사이트를 스캔하고 제품을 찾아 장바구니에 담았습니다. 그리고 사용자에게 확인을 구하지도 않은 채 브라우저에 저장된 주소와 신용카드 정보를 자동으로 입력해 ‘구매’를 완료했습니다.
물론 매번 이런 식으로 작동하지는 않았습니다. 때로는 의심스러워하거나 사용자에게 수동으로 결제하라고 요청하기도 했습니다. 하지만 문제는 보안이 확률에 의존한다는 점입니다. 보안이 동전 던지기와 같다면, 그것은 진정한 보안이 아닙니다.
피싱 이메일도 진짜로 인식
이메일 처리 기능을 테스트했을 때도 마찬가지였습니다. 새로 만든 ProtonMail 주소에서 보낸 가짜 웰스파고 은행 이메일을 받은 Comet은 이를 은행에서 온 할 일로 분류했습니다. 그리고 아무런 확인 없이 링크를 클릭해 실제 운영 중인 피싱 사이트로 이동했습니다.
신뢰 체인의 붕괴가 핵심 문제입니다. 인간이라면 수상한 발신자 주소를 보거나, 링크에 마우스를 올려 URL을 확인하거나, 도메인을 의심했을 것입니다. 하지만 AI가 모든 과정을 처리하면서 이런 의심의 여지가 사라졌습니다. 사용자는 AI가 ‘검증’한 안전한 웰스파고 로그인 페이지만 보게 됩니다.
프롬프트픽스: AI 시대의 새로운 공격법
더 교묘한 공격도 나타났습니다. Guard.io가 개발한 ‘PromptFix’는 기존의 ClickFix 사기를 AI 시대에 맞게 진화시킨 기법입니다.
사용자 눈에는 평범한 체크박스로 보이는 가짜 캡차 뒤에, CSS로 숨겨진 텍스트 상자에 악성 지시문이 들어있습니다. 사용자는 볼 수 없지만, 웹페이지를 처리하는 AI 에이전트는 이 숨겨진 지시문을 읽고 따릅니다.
실제 시나리오는 이렇습니다. 사기꾼이 의사 사무실을 가장해 “혈액 검사 결과”라는 링크가 담긴 메시지를 보냅니다. 사용자가 AI 어시스턴트에게 처리를 맡기면, AI는 링크로 이동해 캡차를 만나고, 숨겨진 지시문을 발견합니다. 지시문은 이것이 “AI 친화적인” 특별한 캡차라며 AI가 대신 버튼을 클릭해도 된다고 설명합니다. 그러면 AI는 정말로 클릭하고, 악성 파일이 다운로드됩니다.
왜 기존 보안 방식으론 막을 수 없나
Brave 브라우저 보안팀이 발견한 Comet의 취약점은 문제의 심각성을 더욱 드러냅니다. 사용자가 “이 웹페이지를 요약해줘”라고 요청하면, Comet은 사용자 지시사항과 웹페이지 내용을 구분하지 못한 채 모두 AI 모델에 전달합니다.
Reddit 댓글에 숨겨진 악성 지시문을 통해 실제로 다음과 같은 공격이 성공했습니다:
- 사용자의 Perplexity 계정 페이지에 접근해 이메일 주소 추출
- Gmail에 접근해 일회용 비밀번호(OTP) 확인
- 추출한 정보를 Reddit 댓글에 ‘답글’ 형태로 유출
기존 웹 보안 메커니즘이 무력화됩니다. 동일출처정책(SOP)이나 교차출처자원공유(CORS) 같은 전통적인 보안 장치들은 AI 에이전트가 사용자 권한으로 행동할 때 아무 소용이 없습니다. AI는 은행 계정, 기업 시스템, 개인 이메일, 클라우드 저장소 등에 사용자와 동일한 접근 권한을 갖기 때문입니다.
스캠플렉시티 시대의 도래
Guard.io는 이 새로운 현상을 ‘스캠플렉시티(Scamlexity)’라고 명명했습니다. 스캠(Scam)과 복잡성(Complexity)을 합친 말로, AI로 인해 더욱 복잡해진 사기의 시대를 의미합니다.
가장 무서운 점은 확장성입니다. 사기꾼들이 수백만 명을 속일 필요가 없어졌습니다. 하나의 AI 모델만 해킹하면 됩니다. 같은 모델을 사용하는 수백만 사용자가 동시에 영향받을 수 있기 때문입니다.
또한 사기꾼들도 같은 AI 모델에 접근할 수 있어, 피해자의 AI를 상대로 무한히 ‘훈련’할 수 있습니다. 이는 적대적 생성 신경망(GAN)이 예쁜 그림을 만드는 대신, 무한한 제로데이 사기를 생성하는 셈입니다.
전문가들의 경고
AI 보안 전문가 Simon Willison은 더욱 직설적입니다. “에이전트 브라우저 확장 프로그램의 전체 개념이 치명적으로 결함이 있으며 안전하게 구축할 수 없다”고 단언합니다.
프롬프트 주입의 핵심 문제는 신뢰할 수 있는 지시사항과 신뢰할 수 없는 콘텐츠가 같은 토큰 스트림으로 연결된다는 점입니다. 거의 3년간의 연구에도 불구하고, 아직 이 둘을 효과적으로 구분하는 방법이 발견되지 않았습니다.
Microsoft도 예외가 아닙니다. 2025년 6월 AI 보안 스타트업 Aim Security는 Microsoft 365 Copilot에서 ‘EchoLeak’라는 제로클릭 공격을 발견했다고 발표했습니다. 사용자가 아무것도 클릭하지 않아도 이메일을 보내는 것만으로도 AI 에이전트를 해킹할 수 있는 취약점이었습니다.
해결 방안과 대응법
완벽한 해결책은 없지만, 몇 가지 방향이 제시되고 있습니다:
기술적 대응
- 사용자 지시와 웹사이트 콘텐츠의 명확한 분리: 웹페이지 내용은 항상 신뢰할 수 없는 것으로 처리
- 사용자 정렬 검사: AI가 계획한 행동이 실제 사용자 요청과 일치하는지 독립적으로 검증
- 민감한 작업의 사용자 확인 필수: 이메일 발송, 파일 다운로드 등은 반드시 사용자 승인 필요
- 에이전트 브라우징과 일반 브라우징의 격리: 강력한 권한이 필요한 에이전트 기능을 일반 탐색과 분리
개인 사용자 대응법
- 의심스러운 이메일과 웹사이트 피하기: 기본적인 피싱 대응 원칙은 여전히 유효
- AI 출력 검증하기: AI가 수행한 작업을 사람이 검토하는 과정 유지
- 권한 최소화: AI에게 필요한 최소한의 권한만 부여
- 정기적인 보안 설정 검토: AI 도구의 접근 권한과 보안 설정을 주기적으로 점검
너무 이른 혁신의 대가
AI 에이전트 브라우저는 분명히 혁신적입니다. 하지만 현재는 사용자 경험을 우선시하느라 보안이 후순위로 밀렸습니다. 기존의 Google Safe Browsing 같은 도구만으로는 충분하지 않습니다.
AI 에이전트가 우리의 이메일을 처리하고, 쇼핑을 하며, 계정을 관리하고, 디지털 최전선에서 활동한다면, 검증된 가드레일이 필요합니다. 피싱 탐지, URL 평판 검사, 도메인 스푸핑 경고, 악성 파일 스캔, 행동 이상 탐지 등이 AI 의사결정 과정 안에 통합되어야 합니다.
보안은 나중에 추가하는 것이 아니라, 처음부터 설계에 포함되어야 합니다. AI 에이전트에 대한 우리의 신뢰는 절대적일 것이고, 그 신뢰가 잘못 사용되면 그 대가는 즉각적입니다.
스캠플렉시티 시대에서 안전은 선택 사항이 아닙니다. 우리는 혁신을 멈출 필요는 없지만, 더 안전한 미래를 위해 지금 보안에 집중해야 합니다.
참고자료:
Comments