AI 브라우저가 아무리 ‘똑똑하다’고 해도, 흔한 위협 중 하나인 악성 확장 프로그램(malicious extensions)을 완전히 차단할 만큼 똑똑하지는 않다는 지적이 나왔다.
보안 기업 스퀘어엑스(SquareX)는 24일 발표한 보고서에서, 공격자가 손상된 브라우저 확장 프로그램을 통해 AI 사이드바 기능을 악용할 수 있다고 밝혔다. 여기서 AI 사이드바는 브라우저 내에서 AI 챗봇이 작동할 때, 화면 오른쪽에 표시되는 대화형 보조 창을 뜻한다.
이 같은 공격 방식은 새로운 것이 아니다. 크롬, 엣지, 파이어폭스 등 주요 브라우저의 웹스토어에는 수년 전부터 악성 확장 프로그램이 등록돼 일반 사용자의 기기를 감염시키는 사례가 꾸준히 보고돼 왔다.
하지만 스퀘어엑스가 새롭게 발견한 점은, 공격자가 정상적인 AI 사이드바를 정교하게 위조해 사용자를 속일 수 있다는 것이다. 이들은 사용자를 악성 웹사이트로 유도하거나, 데이터 유출 명령을 실행하게 하거나, 백도어를 설치하도록 유도하는 것을 목표로 한다. 스퀘어엑스는 이 공격이 21일 공개된 오픈AI의 브라우저 ‘아틀라스’에서도 동일하게 작동한다고 경고했다.
스퀘어엑스는 보고서에서 최고정보보호책임자(CISO)와 최고정보책임자(CIO)가 취할 수 있는 대응책으로 AI 브라우저 사용 금지를 제시했다. 다만 이 조치는 IT 부서가 직원들이 어떤 브라우저를 사용하는지 통제할 수 있을 때만 가능하다. 특히 개인 인터넷 기기 사용이 허용된 환경이라면 현실적으로 어렵다. 최소한 IT 부서는 직원이 설치한 AI 및 비(非)AI 브라우저 확장 프로그램을 모두 점검해야 한다고 보고서는 강조했다.
AI 관련 모든 것, 제로 트러스트로 다뤄야
사이버 사고 대응 기업 시퍼(Cypfer)의 최고운영책임자(COO) 에드 두브롭스키는 “CISO와 CIO는 AI와 관련된 모든 것을 가능한 한 가장 강력한 제로 트러스트(Zero Trust) 원칙으로 관리해야 한다”고 말했다.
그는 “AI 사용과 기능에 명확한 보호 장치를 세워야 하며, 만약 보안 취약성이 있는 AI 소프트웨어를 기업 네트워크 내에서 사용한다면, 핵심 자산에 접근하거나 이를 인식할 수 없도록 별도의 구역으로 격리해야 한다”라고 설명했다.
두브롭스키는 AI 보안이 기존 IT 관리와 전혀 다른 차원의 문제라고 지적했다. 그는 “많은 IT 리더가 AI를 단순히 새로운 도구나 도구 집합으로 보고, 기존 소프트웨어 개발 및 유지 관리 방식을 그대로 적용하려 한다”며 “그러나 현실적으로 AI는 ‘보안 검증이 거의 되지 않은 신입 직원 100명을 한꺼번에 채용한 상황’에 가깝다”고 비유했다.
그는 이어 “AI는 단순한 언어 모델이 아니라, 스스로 작업을 정의하고 실행하며 심지어 AI가 AI 코드를 작성하고 배포할 수도 있는 ‘대행(Agentic)’ 기능을 갖고 있다”며 “결국 인간이 키보드에서 물러나고, 새로운 형태의 자동화된 소프트웨어 주체가 그 자리를 대체하고 있다”고 분석했다.
두브롭스키는 또 “AI는 결코 완벽하지 않으며, 아마 앞으로도 완벽해지지 못할 것”이라며 “언젠가 AI가 인간의 속임수를 대부분 피할 만큼 고도화될 수는 있겠지만, 그렇다고 다른 AI의 조종이나 조작을 피할 수 있을지는 알 수 없다”고 말했다.
‘쓰레기통 화재’ 수준의 위험
캐나다의 보안 인식 교육기업 보세론시큐리티(Beauceron Security)의 CEO 데이비드 시플리도 같은 의견을 내놨다.
그는 “CISO가 지루하고 사건을 좀 겪어보고 싶다면, 직원들에게 이런 AI 기반의 ‘혼란스러운 시스템’을 배포하면 될 것”이라며 “하지만 대부분의 CISO가 이미 수많은 문제에 시달리고 있고, 여가와 무료함이 그 목록에 없다면 이런 ‘쓰레기통 화재’ 같은 AI 브라우저는 절대 피해야 한다”고 경고했다.
시플리는 “합법적이고 신뢰할 수 있는 브라우저 및 확장 프로그램 생태계를 구축하고 유지하는 일은 매우 어렵다”라며 “애플, 구글, 마이크로소프트(MS) 같은 대형 기술 기업조차 여전히 이 문제로 어려움을 겪고 있다”라고 지적했다.
그는 이어 “위험은 단지 확장 프로그램에만 있는 것이 아니다”며 “문제의 근본은 이러한 브라우저의 설계 DNA 자체에 있다. 기업들이 구조적인 문제를 해결할 유인을 갖고 있지 않으며, 악성 확장 프로그램은 결국 사이버 보안 체계를 무너뜨리는 마지막 한 방울이 될 뿐”이라고 비판했다.
공격 방식과 대응 방안
CISO에게 이번 위협은 특히 까다로운 과제다. 브라우저 확장 프로그램은 본래 사용 편의를 높이기 위한 유용한 도구, 예를 들어 비밀번호 관리자나 AI 생산성 보조 도구처럼 보이기 때문에, 직원이 악성 확장 프로그램을 내려받고 설치하도록 속이는 일은 그리 어렵지 않다. 공격자는 피싱·스미싱 메시지, 소셜미디어 게시물, 또는 구글 크롬 웹스토어 같은 공식 마켓플레이스를 통해 이런 프로그램을 유포한다. 이 확장 프로그램은 겉보기에는 정상적인 프로그램처럼 보이지만, 실제로는 악성코드이거나 이미 손상된 버전일 수 있다.
스퀘어엑스 보고서에 따르면, ‘AI 사이드바 위조(Spoofing)’ 공격은 사용자가 새 AI 브라우저 탭을 열 때 시작된다. 악성 확장 프로그램이 자바스크립트를 삽입해 실제와 똑같이 보이는 가짜 사이드바를 만들어내는 것이다. 사용자가 여기에 프롬프트를 입력하면 확장 프로그램이 AI 엔진에 연결돼 정상적인 응답을 흉내 내지만, 특정 명령이나 안내 요청이 포함되면 응답 내용에 공격자가 추가한 지시문이 삽입된다.
예를 들어 사용자가 ‘좋은 파일 공유 사이트’를 추천해 달라고 입력하면, 확장 프로그램은 공격자의 파일 공유 사이트 링크를 제공한다. 이 사이트는 고위험 OAuth 권한을 요청해 사용자의 이메일 계정에 접근할 수 있게 된다.
스퀘어엑스 연구진이 진행한 실험 중 하나에서는, 연구원이 악성 사이드바에 맥OS 또는 리눅스용 홈브류(Homebrew) 패키지 관리자 설치 방법을 물었다. 이에 사이드바는 정상적인 설치 안내에 ‘역셸(reverse shell)’ 명령어가 포함된 코드를 함께 제시했다. 사용자가 이를 실행했다면, 공격자의 서버로 연결되는 통로가 열리며 공격자가 피해자의 컴퓨터에 원격 접속해 명령을 실행할 수 있었을 것이다.
스퀘어엑스는 보고서에서 “정보보호 리더는 브라우저 차원에서 세분화된 보안 정책을 설정해야 한다”고 강조했다. 이 정책에는 ▲고급 머신러닝과 페이지 휴리스틱 분석을 활용한 피싱 사이트 차단, ▲허가되지 않은 앱의 고위험 권한 요청 차단, ▲악성 또는 위험한 리눅스 명령어 실행 경고 및 차단 등이 포함돼야 한다고 제안했다.
엑사빔(Exabeam)의 보안운영 전략가 가브리엘 헴펠은 “이번 연구는 ‘에이전틱 브라우징’ 초기 단계에서 날아온 경고탄”이라며 “AI 보조 인터페이스(UI)에 대한 신뢰 모델을 근본적으로 재검토해야 함을 보여준다”라고 말했다.
그는 “에이전틱 AI 브라우저는 완전히 새로운 공격 표면을 만든다”며 “악성 확장 프로그램이 진짜처럼 보이는 가짜 사이드바를 삽입하면, 공격자는 신뢰받는 AI 보조 UI를 탈취해 사용자가 위험한 명령을 실행하도록 속일 수 있다”고 설명했다.
헴펠은 또 “조직은 이를 매우 심각하게 받아들여야 한다”며 “AI 사이드바에 탐색과 실행 권한을 위임한다는 것은, 기존에 비교적 경미했던 보안 위험을 클라우드 자산·인증정보·디바이스에 직접적인 위협으로 끌어올리는 행위”라고 경고했다.
그는 “AI 브라우저의 보안성이 충분히 입증되기 전까지는 고위험 업무에서 사용을 제한해야 한다”며 “이 공격은 호스트 및 저장소 권한을 이용하는 확장 프로그램을 악용하므로, 기업은 확장 프로그램 승인 절차를 다시 검토해야 한다”고 조언했다. 특히 광범위한 접근 권한을 요구하는 생산성 도구라면 반드시 심층 검토가 필요하다고 강조했다.
헴펠은 마지막으로 “이러한 도구를 도입한 이후에도 최소 권한 원칙을 유지해야 한다”며 “AI가 접근할 수 있는 탭이나 서비스의 범위를 제한하는 세분화(segmentation)가 필수적이다”고 덧붙였다.
dl-ciokorea@foundryco.com
Read More from This Article: “AI 사이드바가 보안 구멍으로···오픈AI 신형 브라우저도 위험” 스퀘어엑스 보고서
Source: News