한국정보기술진흥원
한국정보기술신문
thumbnail

인공지능 · 정보보안 ·

AI 소셜 네트워크 몰트북, 150만 개 API 키 유출...AI 코딩의 보안 맹점 드러나

발행일
읽는 시간2분 50초

데이터베이스 설정 오류로 이메일·인증 토큰 등 민감정보 전면 노출

[한국정보기술신문] AI 에이전트 전용 소셜 네트워크 플랫폼 몰트북에서 대규모 보안 취약점이 발견돼 150만 개의 API 키와 3만5000개의 사용자 이메일 주소가 공개 인터넷에 무방비로 노출된 것으로 드러났다. 클라우드 보안 전문기업 위즈와 보안 연구원 제이미슨 오라일리가 지난달 31일 이 취약점을 발견하고 공개했다.

몰트북은 AI 에이전트들이 자율적으로 게시물을 작성하고 상호작용하는 소셜 미디어 플랫폼으로, 최근 테크 커뮤니티에서 큰 관심을 받아왔다. 플랫폼 창업자인 옥탄 AI의 CEO 맷 슐리히트는 한 줄의 코드도 직접 작성하지 않고 AI를 활용해 전체 플랫폼을 구축했다고 밝힌 바 있다.

위즈 연구팀은 일반 사용자처럼 웹사이트를 탐색하는 과정에서 몇 분 만에 취약점을 발견했다고 밝혔다. 클라이언트 측 자바스크립트에 노출된 슈퍼베이스 API 키가 인증 없이 전체 프로덕션 데이터베이스에 대한 읽기 및 쓰기 권한을 부여하고 있었다. 이는 슈퍼베이스 데이터베이스에서 행 수준 보안 기능을 활성화하지 않은 설정 오류 때문이었다.

150만 API 키와 개인정보 전면 노출

이번 취약점으로 노출된 데이터는 심각한 수준이다. 150만 개의 AI 에이전트 인증 토큰이 노출돼 공격자가 모든 에이전트 계정을 완전히 장악할 수 있었다. 또한 에이전트를 운영하는 1만7000명 이상의 실제 사용자 이메일 주소와 트위터 계정이 유출됐으며, 몰트북의 신규 개발자 제품에 가입한 3만5000명의 이메일도 공개됐다.

특히 우려되는 부분은 에이전트 간 비공개 메시지 4060건이 암호화나 접근 제어 없이 노출됐다는 점이다. 이 메시지들 중 일부에는 오픈AI API 키 등 제3자 서비스 자격증명이 평문으로 포함돼 있었다. 단일 플랫폼의 설정 오류가 완전히 무관한 외부 서비스의 자격증명까지 노출시킨 것이다.

위즈는 읽기 권한뿐 아니라 쓰기 권한도 확인했다. 초기 수정으로 민감한 테이블에 대한 읽기 접근이 차단된 후에도 공개 테이블에 대한 쓰기 접근은 여전히 열려 있었으며, 연구팀은 플랫폼의 기존 게시물을 성공적으로 수정할 수 있었다.

자율 에이전트 주장의 실체

흥미롭게도 노출된 데이터는 플랫폼의 공개 이미지와 다른 실상을 보여줬다. 몰트북이 150만 개의 등록된 에이전트를 자랑했지만, 데이터베이스에는 이들을 소유한 인간이 약 1만7000명에 불과했다. 에이전트 대 인간 비율이 88대1인 셈이다. 연구팀은 속도 제한이나 에이전트 자율성 검증 없이 누구나 간단한 루프로 수백만 개의 에이전트를 등록할 수 있으며, 인간이 기본 POST 요청을 통해 AI 에이전트로 위장해 콘텐츠를 게시할 수 있다고 지적했다.

또한 전체 게시물의 2.6퍼센트에 해당하는 506개 게시물에 프롬프트 인젝션 공격이 숨겨져 있었다. AI 전문가 게리 마커스와 안드레이 카파시는 시스템 접근 권한을 가진 에이전트 간 프롬프트 인젝션 공격 확산의 위험성을 경고했다.

AI 코딩의 보안 문제점

이번 사건은 AI를 활용한 신속한 개발 방식인 바이브 코딩의 위험성을 여실히 보여준다. 바이브 코딩은 개발자가 고수준의 의도만 전달하면 AI 에이전트가 코드를 작성하는 방식으로, 엔지니어링 엄격성과 보안 모범 사례를 우회하는 경우가 많다.

슐리히트는 오라일리에게 보안 취약점에 대한 연락을 받은 후 AI에게 문제 해결을 맡기겠다고 응답했다고 전해진다. 오라일리는 노출된 API 키를 모두 교체하면 모든 에이전트가 잠기게 되고 각 소유자의 연락 방법을 기록하지 않은 이상 새 키를 전달할 방법이 없을 것이라고 경고했다.

몰트북은 위즈 팀의 지원을 받아 몇 시간 내에 데이터베이스 노출 문제를 해결했다. 그러나 전문가들은 API 자격증명이 여전히 교체되지 않았고 검증 시스템의 근본적인 결함도 해결되지 않았을 가능성이 있다고 지적한다.

AI 인프라 보안의 과제

이번 사건은 AI 인프라 보안에 대한 광범위한 패턴을 보여준다. 위즈는 이전 엔비디아와 레플리케이트 플랫폼 연구에서 발견한 컨테이너 탈출 및 교차 테넌트 데이터 유출과 유사한 문제점을 지적하며, 현재 도구들이 개인 데이터 접근, 신뢰할 수 없는 콘텐츠 노출, 외부 통신이라는 에이전트 특유의 위협에 대처하지 못하고 있다고 강조했다.

보안 전문가들은 슈퍼베이스와 같은 백엔드 서비스 플랫폼을 배포할 때 반드시 행 수준 보안 규칙을 확인하고, 클라이언트 측 코드에 무제한 접근 권한을 부여하지 말 것을 권고한다. 또한 AI가 인프라를 구축하도록 하되 보안 감독 없이는 배포하지 말아야 한다고 강조한다.

AI 커뮤니티는 이번 사건을 통해 에이전트에게 행동 능력을 부여하기 전에 행동 지침과 보안 장치를 확립해야 한다는 교훈을 얻었다. 개발 속도와 보안 사이의 균형을 찾는 것이 AI 시대의 핵심 과제로 떠오르고 있다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org