Brave, AI 브라우저의 '보이지 않는' 프롬프트 인젝션 취약점 공개...코멧·펠루 등 위협 노출

Brave는 Perplexity의 Comet 등 주요 AI 브라우저에서 스크린샷과 웹 탐색 과정을 통한 프롬프트 인젝션 공격이 가능하다는 연구 결과를 발표했다.

[한국정보기술신문] 웹 브라우저 개발사 Brave가 AI 기반 브라우저들에서 발견한 새로운 보안 취약점을 공개했다. 이번 연구는 Artem Chaikin 선임 모바일 보안 엔지니어가 수행했으며, 10월 20일 공식 블로그를 통해 발표됐다.

Brave는 이번 연구에서 Perplexity의 Comet과 Fellou 브라우저에서 간접 프롬프트 인젝션 공격이 가능한 취약점을 확인했다. 연구진은 이러한 문제가 특정 제품의 문제가 아닌 AI 기반 브라우저 전체 범주가 직면한 구조적 문제라고 지적했다.

스크린샷을 통한 공격

Comet 브라우저의 경우 사용자가 웹사이트 스크린샷을 찍고 AI에게 질문하는 과정에서 취약점이 발생한다. 공격자는 노란색 배경에 연한 파란색 텍스트로 악성 명령어를 숨겨 인간의 눈에는 보이지 않지만 AI가 인식할 수 있는 지시문을 웹 콘텐츠에 삽입할 수 있다.

이 공격은 사용자가 악성 텍스트가 포함된 페이지의 스크린샷을 캡처하면 시작된다. OCR 등의 텍스트 인식 기술이 사람이 인지할 수 없는 텍스트를 추출하고, 이를 사용자의 질문과 구분하지 않고 대형 언어모델에 전달한다. 그 결과 주입된 명령어가 AI로 하여금 브라우저 도구를 악의적으로 사용하도록 지시할 수 있다.

웹 탐색 중 발생하는 취약점

Fellou 브라우저는 숨겨진 명령어 공격에 일부 저항성을 보였지만, 웹페이지의 가시적 콘텐츠를 신뢰할 수 있는 입력으로 처리하는 취약점이 있다. 사용자가 단순히 특정 웹사이트로 이동하도록 요청하면 브라우저가 해당 웹사이트의 콘텐츠를 언어모델에 전송한다.

공격자가 자신의 웹사이트에 악성 명령어를 눈에 보이게 삽입하면, 사용자가 해당 웹페이지로 이동하도록 AI 어시스턴트에 요청하는 것만으로도 공격이 성사된다. 브라우저는 사용자의 질문과 페이지 콘텐츠를 함께 언어모델에 전달하며, 이 과정에서 웹페이지의 텍스트가 사용자의 의도를 무시하거나 변경할 수 있다.

책임 있는 공개와 향후 계획

Brave는 모든 취약점을 발견 즉시 해당 기업들에 보고했다. Perplexity의 경우 10월 1일 스크린샷 관련 취약점을 발견해 보고했으며, Fellou는 8월 20일 웹 탐색 취약점이 보고됐다. 두 취약점 모두 10월 20일 공개됐다.

Brave는 AI 에이전트가 사용자를 대신해 행동할 때 기존 웹 보안 가정들이 무너진다고 경고했다. 동일 출처 정책과 같은 보호 장치들이 무의미해지며, 웹사이트의 단순한 자연어 지시문이나 Reddit 댓글조차도 은행, 의료 제공자 사이트, 기업 시스템, 이메일 호스트, 클라우드 스토리지에 대한 도메인 간 작업을 촉발할 수 있다.

연구진은 이러한 공격들이 근본적으로 언어모델 프롬프트를 구성할 때 신뢰할 수 있는 사용자 입력과 신뢰할 수 없는 웹 콘텐츠 사이의 명확한 경계를 유지하지 못한 결과라고 분석했다. Brave는 장기적 해결책을 연구 중이지만, 범주적 안전 개선이 이루어질 때까지 에이전트 브라우징은 본질적으로 위험하며 그렇게 취급되어야 한다고 강조했다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org