투데이e코노믹 = 우혜정 기자 | 오픈AI가 자사 인공지능(AI) 브라우저 ‘챗GPT 아틀라스(Atlas)’가 프롬프트 인젝션(prompt injection) 공격에 구조적으로 취약할 수밖에 없다는 점을 인정하면서, AI가 웹을 자율적으로 탐색·실행하는 환경의 보안 한계가 본격적으로 드러나고 있다.

프롬프트 인젝션이란 웹페이지나 이메일에 악성 지시를 입력해 AI 에이전트가 사용자 의도와 다른 행동을 하도록 조작하는 보안 공격 기법을 뜻한다.

미국 IT 매체 테크크런치는 22일(현지시간) 오픈AI가 최근 블로그를 통해 “프롬프트 인젝션은 웹상의 사기나 사회공학처럼 완전히 해결되기 어려운 문제”라고 밝히며, 아틀라스의 보안 강화 노력에도 근본적 방어에는 한계가 있음을 시사했다고 보도했다.

오픈AI는 특히 아틀라스의 ‘에이전트 모드’가 웹과 이메일, 문서 등 외부 환경과 직접 상호작용하면서 보안 위협의 범위를 넓힌다고 평가했다. AI가 단순 응답을 넘어 실제 행동을 수행하는 구조 자체가 새로운 위험을 만든다는 점을 인정한 셈이다.

아틀라스는 지난해 10월 출시됐으며, 이후 보안 연구자들은 구글 문서에 몇 단어를 삽입하는 것만으로 AI 브라우저의 행동을 변경할 수 있다는 시연을 공개했다. 이는 외부 콘텐츠에 숨겨진 명령이 AI의 판단과 실행을 우회할 수 있음을 보여준다.

AI 에이전트 브라우저의 구조적 한계 지적

이 같은 문제는 특정 기업이나 제품에 국한되지 않는다는 지적도 나왔다. 같은 날 웹브라우저 보안기업 브레이브(Brave)는 간접 프롬프트 인젝션이 퍼플렉시티의 AI 브라우저 ‘코밋(Comet)’을 포함해 AI 기반 브라우저 전반이 직면한 체계적 도전 과제라고 밝혔다. AI 에이전트 브라우저라는 개념 자체가 구조적 위험을 안고 있다는 평가다.

정부 기관의 경고도 이어지고 있다. 영국 국가사이버보안센터(NCSC)는 이달 초 생성형 AI 애플리케이션에 대한 프롬프트 인젝션 공격이 “완전히 퇴치되지 않을 수 있다”고 밝히며, 데이터 유출 위험이 커질 수 있다고 경고했다. NCSC는 공격을 완전히 차단할 수 있다는 전제보다, 피해를 최소화하는 방향으로 대응 전략을 세워야 한다고 조언했다.

오픈AI는 이를 장기적인 AI 보안 과제로 규정하고 있다. 대규모 테스트와 빠른 패치 주기를 통해 방어력을 높이는 한편, 강화학습으로 훈련된 ‘LLM 기반 자동화 공격자’를 활용해 실제 해커보다 먼저 취약점을 찾는 내부 시뮬레이션 전략을 도입했다고 밝혔다. 이 과정에서 기존 레드팀이나 외부 제보로는 발견되지 않았던 새로운 공격 패턴도 확인됐다고 설명했다.