최근 사이버보안 분석가들은 기업에 오픈AI의 신규 브라우저 ‘아틀라스’ 설치를 자제하라고 경고한 바 있다. 이후 한 기업 연구진은 공격자가 브라우저를 통해 시스템에 악성 코드를 주입하고, 접근 권한을 탈취하거나 맬웨어를 배포할 수 있는 취약점을 발견했다. 이는 AI 기반 웹브라우저의 기업 환경 적용 가능성과 보안 대비 수준에 대한 우려를 불러일으키고 있다.
보안업체 레이어엑스 시큐리티(LayerX Security)는 공격자가 취약점을 이용해 사용자의 챗GPT(ChatGPT) 메모리에 악성 명령어를 삽입하고 원격 코드를 실행할 가능성이 있다고 밝혔다. 레이어엑스는 이 취약점이 모든 브라우저의 챗GPT 사용자에게 영향을 미치지만, 현재 아틀라스에 피싱 방지 기능이 부족하다는 점 때문에 특히 위험하다고 지적했다. 또한 아틀라스 사용 시 기본적으로 챗GPT 자격 증명이 저장된다는 점도 주의해야 한다고 언급했다.
레이어엑스는 해당 취약점이 악용되는 것을 방지하기 위해 오픈AI에 이를 제보했으며, 구체적인 기술 세부사항은 공개하지 않았다.
취약점 악용 방식
레이어엑스시큐리티(LayerX Security)의 공동 설립자 겸 CEO인 오르 에셰드에 따르면, 취약점은 일련의 과정을 통해 작동한다. 이는 사용자가 챗GPT에 로그인하면 인증 쿠키나 토큰이 브라우저에 보관된다는 점을 악용하며, 악성 링크 클릭 시 조작된 웹페이지로 이동하는 방식이다.
사용자가 클릭한 이후, 악성 페이지는 기존 챗GPT 인증을 악용하기 위해 크로스사이트 위조 요청(CSRF)을 발생시킨다. 다음 단계에서 CSRF 취약점 공격은 사용자 모르게 챗GPT 메모리에 숨은 명령어를 주입해 핵심 LLM 메모리를 오염시킨다.
마지막으로 사용자가 챗GPT에 질의할 때 오염된 메모리가 호출되며, 이를 통해 공격자는 시스템이나 코드에 대한 제어 권한을 획득하는 악성 코드를 배포할 수 있다.
챗GPT의 메모리는 사용자의 질의와 대화 내용, 활동 내역, 선호도, 스타일 노트 등 세부 정보를 기억해 개인화된 응답을 제공하도록 설계된 유용한 기능이다.
안쿠라컨설팅(Ankura Consulting)의 글로벌 파트너이자 인도 지역 수석 전무인 아밋 자주는 “챗GPT의 메모리는 계정 단위로 관리되며, 세션이나 브라우저, 기기가 달라져도 유지된다. 따라서 한 번 유입되면 사용자가 집에서 사무실로, 개인 환경에서 기업 환경으로 이동할 때까지 감염이 따라붙는다”라고 설명했다. 그는 “BYOD(개인기기 업무사용)나 혼합 사용 환경에서는 재부팅이나 브라우저 변경 이후에도 문제가 다시 유발돼, 공격 범위가 단일 엔드포인트를 넘어 확산될 수 있다”라며 “특히 개인용 챗GPT 계정을 업무에 사용하는 경우 더욱 심각해질 수 있다”라고 진단했다.
아틀라스 브라우저를 통한 챗GPT 취약점이 알려지면서 우려도 제기되고 있지만, 자주는 현재 기업의 도입률이 매우 낮은 수준이라고 설명했다. 아틀라스는 출시된 지 얼마 되지 않았으며, 맥OS 전용으로 제공되고 있다. 또한 노출 범위 역시 파일럿 운영과 비공식 설치 사례로 제한돼 있다. 하지만 업무용 워크스페이스에서 기본적으로 아틀라스를 사용할 수 있기에 개인 사용이 업무 환경으로 확산될 가능성이 있다.
아틀라스에서 메모리 기반 침해를 탐지하는 방법
챗GPT 아틀라스에서 발생하는 메모리 기반 침해는 기존 악성코드 탐지와는 다르다. 파일, 레지스트리 키, 실행 파일처럼 격리할 수 있는 흔적이 남지 않기 때문이다. 대신 보안팀은 AI 어시스턴트의 응답 방식, 제안 내용, 반응 시점 등에서 나타나는 미묘한 변화와 같은 ‘행동 기반 이상 징후’를 관찰해야 한다.
그레이하운드리서치(Greyhound Research)의 CEO이자 수석 애널리스트인 산칫 비르 고기아는 “단서들은 존재하지만, 일반적인 보안 탐지 체계 밖에 있다. 예를 들어 AI 어시스턴트가 갑자기 외부 URL이 포함된 스크립트를 제안하거나, 사용자의 의도를 지나치게 정확하게 예측하기 시작한다면 이는 메모리에 주입된 명령이 작동하고 있을 가능성이 있다”라고 말했다. 그는 “메모리가 손상되면 AI는 부적절한 맥락을 바탕으로 행동할 수 있으며, 이는 명백한 경고 신호로 봐야 한다”라고 지적했다.
또한 그는 “포렌식 관점에서 보면, 보안 분석가는 브라우저 로그, 메모리 변경 시점, 프롬프트와 응답의 순서를 연계해 살펴봐야 한다”라고 조언하며, “대화 기록을 내보내고 구조적으로 분석하는 과정이 필수다. 사용자가 알 수 없는 링크를 클릭한 직후 비정상적인 메모리 변경이나 AI 에이전트의 예상치 못한 동작이 발생했다면, 이를 면밀히 조사해야 한다”라고 강조했다.
고기아는 이 문제가 단순히 도구를 설치한다고 탐지할 수 있는 유형이 아니라고 지적했다. 따라서 기업 환경에서는 아틀라스를 기본적으로 비활성화하고, 도입이 필요하다면 민감하지 않은 데이터를 사용하는 제한된 범위의 파일럿 환경에서만 운용해야 한다고 설명했다.
자주는 기업이 모니터링을 강화하려면 AI가 제안한 코드 실행, 원격 페이로드(데이터 조각) 다운로드, 챗GPT 사용 이후 발생하는 비정상적인 외부 통신, 그리고 SaaS 환경에서의 세션 탈취 같은 행위를 탐지 대상으로 추가해야 한다고 덧붙였다. 또한 새로 등록됐거나 아직 분류되지 않은 도메인에 대해 웹 필터링을 활성화해야 한다고 조언했다.
아틀라스 사용자의 메모리가 침해되면, 위협은 단일 기기를 넘어 클라우드에 연결된 사용자 계정으로 옮겨갈 수 있다. 따라서 대응은 계정 차원에서 시작해야 한다. 고기아는 먼저 메모리를 완전히 삭제하고 자격 증명 방법을 교체해야 하며, 최근 대화 기록 전체를 검토해 변조나 숨은 명령, 조작된 작업 흐름의 흔적이 있는지 확인해야 한다고 강조했다
AI 브라우저는 안전할까?
레이어엑스는 이번 취약점을 공개하면서 챗GPT 아틀라스가 피싱 공격을 막는 데 취약하다고 지적했다. 자체적으로 실시한 테스트에 따르면, 아틀라스는 실제 환경에서 발생한 103건의 피싱 공격 중 97건을 차단하지 못해 실패율이 94%를 넘었다.
레이어엑스는 지난달 다른 AI 브라우저도 동일한 방식으로 테스트했으나 결과는 마찬가지로 부진했다. 퍼플렉시티(Perplexity)의 ‘코멧(Comet)’과 젠스파크(Genspark)는 전체 피싱 공격 중 단 7%만 방어했으며, 아크(Arc) 브라우저의 ‘디아(Dia)’만이 약 46%의 공격을 차단했다. 반면, 마이크로소프트 엣지(Edge)와 구글 크롬(Chrome) 같은 기존 브라우저는 기본 제공 보안 기능만으로도 약 50%의 피싱 공격을 차단하는 결과를 보였다.
dl-ciokorea@foundryco.com
Read More from This Article: AI 브라우저, 과연 안전할까?···오픈AI 아틀라스에서 챗GPT 취약점 발견
Source: News