AI 에이전트 보안 위협 심각... 98.6% 차단도 "실패" 평가

인공지능(AI) 에이전트가 기업 업무 자동화 핵심 도구로 부상하면서, 현재 기술로는 막을 수 없는 심각한 보안 위협이 드러났다. 배런스는 지난 22일(현지시각) AI 에이전트를 겨냥한 프롬프트 인젝션 공격이 2026년 최대 사이버보안 과제로 떠올랐다고 보도했다.

프롬프트 인젝션 공격은 이메일이나 웹페이지에 숨겨진 악성 명령어로 AI 에이전트 행동을 조작하는 수법이다. 공개 웹콘텐츠에 모순 지시사항을 심어 AI가 원래 목적을 무시하고 기업 데이터베이스를 외부로 전송하거나 삭제하도록 유도한다.


크라우드스트라이크의 마이클 센토나스 사장은 배런스와 인터뷰에서 "프롬프트가 새로운 악성코드가 될 것"이라며 "AI 에이전트는 시스템, 캘린더, 이메일, 데이터 저장소에 접근 권한을 가지고 다른 기기와 통신할 수 있는 권한까지 부여받았다"고 우려했다.

AI 보안 전문가 사이먼 윌리슨은 이를 '치명적 3요소'로 정의했다. 이메일이나 웹페이지 읽기 권한, 민감 데이터 접근 권한, 외부 통신 권한이 결합하면 심각한 보안 위험이 발생한다는 설명이다. 문제는 이러한 권한이 바로 AI 에이전트를 유용하게 만드는 핵심 기능이라는 점이다.
마이크로소프트와 세일즈포스는 복잡한 업무 흐름을 자동화하는 AI 에이전트를 기업 고객에게 판매하고 있다. 퍼플렉시티의 코멧 웹브라우저, 앤트로픽의 클로드 코워크 같은 소비자 대상 도구도 출시됐다. 업계 추산으로 기업 근로자의 85%가 브라우저에서 업무를 처리하면서 공격 표면이 급격히 확대됐다.


보안 업계는 현재 기술로 프롬프트 인젝션 공격을 완벽히 막을 수 없다는 데 의견을 모은다. 앤트로픽은 자체 테스트에서 최고 수준 프롬프트 인젝션 공격 시도 가운데 98.6%를 차단했다고 발표했다. 하지만 보안 업계는 이를 "치명적 실패"로 평가한다.

앤트로픽은 코워크 출시 설명서에서 이를 "매우 현실적이면서 아직 해결되지 않은 문제"라고 경고했다. 연구자는 출시 며칠 만에 첫 성공적 프롬프트 인젝션 공격을 보고했다.

마이크로소프트도 지난해 7월 블로그에서 "모든 프롬프트 인젝션 차단 능력에 의존하지 않는다"며 "일부 인젝션이 성공해도 고객 보안 영향이 없도록 시스템을 설계한다"고 밝혔다.
오픈AI는 지난해 12월 "프롬프트 인젝션은 웹 사기나 사회공학 수법처럼 완전 해결 가능성이 낮다"고 인정했다. 앤트로픽 최신 모델 클로드 오퍼스 4.5조차 프롬프트 인젝션 공격 성공률을 1%로 낮췄지만, 여전히 심각한 위험으로 간주된다.

미국 비영리 보안 단체 OWASP는 2025년 대규모언어모델(LLM) 애플리케이션 10대 취약점 가운데 프롬프트 인젝션을 1위로 선정했다. 보안 감사 대상 생산 환경 AI 배포 73%에서 이 취약점이 발견됐다.


AI 에이전트 시대가 본격화하면서 사이버보안 업체들은 종합 솔루션 구축에 나섰다. 신원(아이덴티티) 보안이 핵심으로 떠올랐다. 사용자 신원과 권한을 정의하는 신원 보안은 사람뿐 아니라 AI 에이전트에도 적용된다.

옥타 하리시 페리 AI 보안 수석부사장은 배런스에 "옥타는 기업이 조직 내외부에서 AI 에이전트 접근 범위를 매우 세밀하게 통제할 수 있게 한다"며 "통제력을 잃은 AI 에이전트와 인간 통제 사이 최후 방어선"이라고 설명했다.

팔로알토네트웍스는 지난해 사이버아크를 250억 달러(약 35조 9900억 원)에 인수하기로 합의했다. 네트워크·클라우드 보안 플랫폼에 신원 보안을 추가하는 조치다.

크라우드스트라이크는 더 공격적 행보를 보였다. 지난해 9월부터 4건 기업 인수를 발표했다. 먼저 판게아를 2억6000만 달러(약 3740억 원)에 인수했다. 판게아 소프트웨어는 AI 에이전트를 지속 모니터링해 비정상 행동이나 프롬프트를 탐지한다. 하지만 이 소프트웨어도 공격 "최대 99%"를 차단한다고 밝혔다. 보안 업계는 이 역시 실패로 간주한다.

올해 1월 크라우드스트라이크는 2건 인수를 추가 발표했다. SGNL은 7억4000만 달러(약 1조 원)에 플랫폼 신원 보안을 강화한다. 세라픽 시큐리티는 4억2000만 달러(약 6040억 원)에 웹브라우저 보안을 담당한다. 대부분 기업 애플리케이션이 브라우저에서 실행되기 때문이다.

크라우드스트라이크 조지 커츠 최고경영자(CEO)는 "신원이 새로운 경계"라며 "브라우저는 현관문"이라고 강조했다. 4건 인수 총액은 17억2000만 달러(약 2조7420억 원)에 이른다.

정보 보안은 빠르게 진화하는 환경으로, 다각적 접근과 지속 적응이 필요하다. 인간 중심 보안에서 AI 에이전트 보안으로 전환은 사업 변곡점이다. 크라우드스트라이크 같은 플랫폼은 강점을 살리면서 인수를 통해 AI 서비스 포트폴리오를 채우고 구독 소프트웨어 판매를 늘릴 수 있다.

변곡점은 기존 기업에 기회지만 위협도 된다. 기존 시스템 부담이 없는 신생 스타트업은 AI 에이전트 우선 세계에서 정보 보안을 완전히 재구상해 업계 주류를 뛰어넘을 수 있다. 사이버보안은 오랫동안 유동적 사업이었으며, 올해부터 이런 특성이 증폭될 전망이다.


한편 보안 업계는 AI 에이전트 보안 위협에 대응하기 위한 구체적 지침을 제시하고 있다.

오픈AI는 지난해 11월 블로그에서 "에이전트에게 가능한 한 명확한 지시를 제공해야 한다"고 권고했다. "읽지 않은 이메일을 검토하고 필요한 조치를 취하라"는 식의 광범위한 지시를 피하고, 구체적이고 범위가 명확한 작업을 요청하라는 설명이다. 광범위한 재량권은 다른 곳의 악성 콘텐츠가 에이전트에 영향을 미치기 쉽게 만든다.

보안 업체 앱옴니는 지난달 서비스나우 AI 플랫폼 취약점 분석 보고서에서 여러 완화 전략을 제시했다. 강력한 권한을 가진 에이전트에는 인간 감독을 요구하고, 에이전트를 기능별로 격리된 팀으로 분리하며, 예상 패턴에서 벗어난 에이전트 행동을 모니터링하라는 내용이다.

UCL 인터랙션센터 조지 찰훕 조교수는 포춘과 인터뷰에서 "전통적 브라우저는 웹을 기본적으로 신뢰할 수 없는 것으로 취급한다"며 "에이전트 브라우저는 콘텐츠가 행동을 형성하도록 허용해 그 경계를 흐리게 만든다"고 지적했다.

크라우드스트라이크는 지난해 12월 블로그에서 AI 도구가 무분별하게 웹과 내부 자원을 크롤링하며 텍스트, 파일, 멀티미디어를 수집하는 현실을 경고했다. 기업이 승인한 도구와 알 수 없는 AI 도구 모두 악성코드 탐지 기능이 거의 없이 모든 파일을 다운로드한다는 분석이다.

업계는 조직 차원에서 AI 에이전트 사용 현황을 파악하고, 접근 권한을 최소화하며, 지속적인 모니터링 체계를 구축해야 한다고 조언한다.


박정한 글로벌이코노믹 기자 park@g-enews.com