단순한 프롬프트 인젝션과 다르다··· 매크로에 명령 숨기는 AI 공격 기법 등장

최근 매크로에 악성 프롬프트를 삽입하고 문서 파서를 통해 숨겨진 데이터를 노출시키는 식으로 생성형 AI를 악용하는 사례가 증가하고 있다.

최근 옵스왓(OPSWAT)은 ‘파일 보안 현황(State of File Security)’ 보고서에서 공격 기법이 AI에 기반해 점점 변화하고 있다고 지적했다. AI 보안 전문가들은 기업이 이미 소프트웨어 개발 파이프라인에 적용하고 있는 보안 수준을 AI 환경으로까지 확장해야 한다고 조언했다.

사이버보안 서비스 기업 포트라(Fortra)의 수석 데이터 과학자인 로베르토 에네아는 “전체적으로 보면 매크로에 악성 프롬프트를 내장하는 위협 벡터는 또 다른 형태의 프롬프트 인젝션 공격으로 볼 수 있다. 이번 사례에서는 문서 매크로나 VBA(Visual Basic for Applications) 스크립트 내부에 삽입돼, 파일을 분석하는 AI 시스템을 겨냥한다. 이러한 기법의 최종 목표는 AI 시스템이 악성코드를 안전한 파일로 잘못 분류하도록 속이는 데 있다”라고 말했다.

버그바운티 플랫폼 해커원(HackerOne)의 직원 혁신 아키텍트인 데인 셰레츠는 “매크로에 악성 프롬프트를 삽입하는 방식은 생성형 AI의 기능이 오히려 시스템 자체를 공격하는 수단이 될 수 있음을 보여주는 대표적인 사례”라고 진단했다.

셰레츠는 “이 기법은 매크로를 이용해 일종의 프롬프트 인젝션을 수행하며, LLM에 조작된 입력을 전달해 의도하지 않은 방식으로 작동하게 만든다. 그 결과 시스템이 기밀 데이터를 유출하거나 공격자가 백엔드에 접근하도록 돕는 상황이 발생할 수 있다”라고 말했다.

제로 클릭 프롬프트 인젝션

생성형 AI를 악용한 취약점 공격과 악성코드 사례는 올해 초부터 본격적으로 보고되고 있다.

예를 들어 에임 시큐리티(Aim Security) 연구진은 최근 마이크로소프트 365 코파일럿에서 발견된 제로 클릭 프롬프트 인젝션 취약점 ‘에코리크(EchoLeak, CVE-2025-32711)’를 공개하며, 이를 AI 에이전트를 겨냥한 첫 공격으로 규정했다.

스트라타스케일(Stratascale)의 사이버보안 서비스 부사장 퀜틴 로즈-헤레라는 “공격자가 이메일이나 워드 문서 같은 일반 비즈니스 파일에 숨은 명령을 삽입하고, 코파일럿이 해당 파일을 처리할 때 그 명령이 자동으로 실행되는 식”이라고 설명했다.

마이크로소프트는 해당 취약점의 대응 방안으로 패치 적용, 코파일럿 접근 권한 설정, 공유 파일의 숨은 메타데이터 제거, 내장된 AI 보안 제어 기능 활성화 등의 조치를 권장했다.

이와 유사한 또 다른 기법인 큐어익스큐트(CurXecute, CVE-2025-54135)는 소프트웨어 개발 환경에서 프롬프트 인젝션을 통해 원격 코드를 실행하게 한다.

에임 랩스의 연구 책임자 이타이 라비아는 “공격자는 사용자 눈에 보이지 않지만 LLM이 처리하는 영역에 프롬프트 인젝션을 심는 새로운 방식을 계속 찾아낼 것”이라며 “매크로에 프롬프트 인젝션을 삽입하는 방법은 최근 등장한 하나의 흐름일 뿐”이라고 설명했다.

AI 기반 보안 도구를 노리는 ‘제다이 마인드 트릭’

지난 6월 발견된 악성코드 스카이넷(Skynet)은 AI 기반 보안 도구를 겨냥해 프롬프트 인젝션을 시도하는 대표적인 사례다. 이는 영화 ‘스타워즈’ 시리즈에 등장하는 ‘제다이 마인드 트릭’에 가까운 역할을 한다. 즉, 제다이가 상대방을 속여 사실이 아닌 것을 믿게 만드는 능력처럼, AI 악성코드 분석 시스템이 샘플 내에서 악성코드를 탐지하지 못했다고 잘못 판별하도록 조작한다.

다만 체크포인트(Check Point) 연구진은 스카이넷이 악성코드 개발자들이 만든 개념 증명(PoC) 실험일 가능성이 높다고 분석했다.

스트라타스케일의 로즈-헤레라는 “이미 문서, 매크로, 설정 파일 내부에 악성 프롬프트를 숨겨 AI 시스템을 속이고 데이터 탈취나 의도치 않은 동작을 실행하게 하는 PoC 공격 사례가 보고된 바 있다. 연구진은 또한 코드 주석이나 메타데이터에 숨은 명령을 삽입해 LLM을 속일 수 있음을 입증했다. 이런 공격에는 결국 동일한 원리가 작동하고 있다”라고 설명했다.

또한 로즈-헤레라는 “이 가운데 일부는 여전히 연구 단계에 머물러 있지만, PoC를 실제 공격에 활용할 역량이 있는 공격자들에게 빠르게 넘어가고 있다”라고 경고했다.

레이더망을 피하는 위협

위협 인텔리전스 기업 소크레이더(SOCRadar)의 CISO 엔사르 세커는 악성코드 유포 전술이 프롬프트 인젝션을 통해 생성형 AI 시스템을 남용하는 방식으로 진화하고 있다고 설명했다.

세커는 “이제는 단순히 페이로드를 심는 수준이 아니다. 실행 시점에서 동작을 바꿀 수 있는 동적 명령을 설계하고, 이를 숨기거나 인코딩해 기존의 스캐닝 도구를 피하도록 만드는 방식으로 나아가고 있다”라고 말했다.

보안 운영 기업 심비안AI(Simbian AI)의 보안 전략 부사장 제이슨 키어스티드는 “생성형 AI 시스템을 겨냥한 많은 프롬프트 인젝션 공격이 여전히 레이더망을 피하고 있다”라고 지적했다.

그는 “예를 들어 일부 사용자가 채용 사이트에 올린 이력서에 악성 프롬프트를 심어두면, AI 채용 포털이 그 이력서를 상단에 노출시키는 일이 발생한다. 최근에는 코멧(Comet) 브라우저를 겨냥한 악성 프롬프트 사례도 확인됐다”라고 설명했다.

은밀하고 체계적인 위협

AI 보안 전문 기업 스플릭스AI(SplxAI)의 레드팀 수석 데이터 과학자 도리안 그라노샤는 자체적으로 진행한 실제 환경 테스트 결과를 토대로 “프롬프트 인젝션은 이미 은밀하면서도 체계적인 위협으로 자리잡았다”라고 분석했다.

그라노샤는 “공격자는 초소형 폰트, 배경색과 동일한 텍스트, 유니코드 태그를 이용한 ASCII 스머글링, 파싱 시점에 페이로드를 삽입하는 매크로, 심지어 파일 메타데이터(DOCX 사용자 정의 속성, PDF/XMP, EXIF 등)까지 활용해 명령을 숨긴다. 이런 기법은 사람이 검토하기 어렵지만, LLM의 경우 그대로 파싱하고 실행하기 때문에 간접적인 프롬프트 인젝션을 가능하게 한다”라고 설명했다.

대응 방안

사이버보안 기업 시클로어(Seclore)의 데이터 보안 책임자 저스틴 엔드레스는 “일상적인 파일이 AI 시스템을 노리는 트로이 목마로 변할 수 있는 만큼, 보안 책임자가 기존 도구에만 의존해서는 안 된다”라고 조언했다.

엔드레스는 “보안 책임자는 파일이 AI 파서에 도달하기 전에 콘텐츠를 정화하는 다층 방어 체계를 마련하고, 모델 입력값에 엄격한 가드레일을 적용하며, 중요한 워크플로우에는 반드시 사람의 검증 절차를 포함시켜야 한다. 그렇지 않으면 공격자가 AI의 행동을 좌우하는 프롬프트를 쓰게 될 것”이라고 말했다.

이런 유형의 공격을 막기 위해서는 기술적 방어 절차와 정책상의 통제를 함께 적용해야 한다. 구체적으로는 다음과 같은 방법을 고려할 만하다.

• 기업 환경에 유입되는 모든 파일, 특히 신뢰할 수 없는 출처의 파일은 철저히 검사해야 한다. 소크레이더의 세커는 “파일을 열기 전에 샌드박스, 정적 분석, 행위 시뮬레이션 도구를 활용해 매크로나 삽입된 프롬프트가 실제로 무엇을 하는지 반드시 확인해야 한다”라고 조언했다.
• 매크로 실행을 격리하는 정책을 적용해야 한다. 예를 들어 애플리케이션 샌드박싱이나 마이크로소프트의 ‘보호된 보기’ 기능을 활용하는 방식이 있다.
• 콘텐츠 무해화 및 재구성(CDR) 도구를 도입하는 것도 효과적이다. 세커는 “CDR은 파일에서 활성 콘텐츠를 제거한 뒤 재구성해 그 안에 숨겨진 위협을 무력화한다. 특히 PDF, 오피스 파일, 구조화된 문서에서 매우 효과적이다”라고 설명했다.
• 생성형 AI 시스템에 입력되는 모든 내용(프롬프트)을 위생 처리한다.
• 입력값을 검토하고 안전 장치를 적용하는 ‘인증’ 구성 요소를 AI 시스템에 포함하도록 설계한다.
• AI 출력을 검증하기 위해 명확한 프로토콜을 적용한다.

로즈-헤레라는 가장 효과적인 대응책이 가시성, 거버넌스, 가드레일에 달려있다고 언급했다.

세커는 기업이 데이터 파싱 및 AI 워크플로우에 제로 트러스트 원칙을 적용해 AI 파이프라인을 CI/CD 파이프라인과 동일하게 취급해야 한다고 조언했다. 이는 LLM 기반 시스템이 무단 명령을 실행하거나 처리하는 것을 차단하기 위해 가드레일 도입, 출력 검증 강화, 맥락 기반 필터 사용 등의 방법을 활용해야 한다는 의미다.

그는 “위협 행위자들이 이런 공격 방식을 주류로 만들기 전에, CISO와 레드팀이 적대적 프롬프트에 대한 AI 기반 워크플로우 테스트를 바로 시작할 것을 강력히 권고한다”라고 말했다.
dl-ciokorea@foundryco.com