OpenAI는 AI 기반 웹 브라우저가 ‘프롬프트 인젝션(prompt injection)’이라는 공격에 완전히 대응할 수 없는 구조적 한계를 지니고 있다고 공식적으로 밝혔습니다. 이는 AI 에이전트가 웹 페이지나 문서 안에 숨어 있는 악의적 지시를 사람이 인지하기 어려운 방식으로 받아들여 실행할 수 있다는 의미입니다.

프롬프트 인젝션 공격은 웹 페이지, 문서, 이메일 등에 악성 지시문을 감추고 AI가 이를 읽도록 유도하는 방식으로 이루어집니다. 사람이 보면 단순한 텍스트처럼 보이지만, AI는 그 안의 명령을 실행해 버립니다. OpenAI는 이러한 공격을 기술적 결함이 아닌 ‘사회공학(social engineering)’과 유사한 장기적 위험으로 규정하며, 완전한 제거는 불가능하다고 설명했습니다.

특히 ChatGPT Atlas 브라우저의 ‘에이전트 모드(agent mode)’는 공격 표면을 더욱 확장해 위험을 키운다고 지적했습니다. 실제로 지난 10월 출시 직후 보안 연구자들이 몇 단어만 삽입된 구글 문서로 브라우저 동작을 바꾸는 시연을 공개했고, Perplexity의 Comet 등 다른 AI 브라우저도 동일한 구조적 취약점을 안고 있다는 경고가 이어졌습니다. 영국 국가사이버안보센터(NCSC) 역시 생성형 AI 시스템에 대한 프롬프트 인젝션이 완전히 차단되기 어렵다고 경고했습니다.

OpenAI는 이 문제를 해결하기 위해 ‘빠른 패치 주기(fast patch cycle)’, 지속적 테스트(continuous testing), 다층 방어(layered defense)를 결합한 접근법을 채택하고 있습니다. 경쟁사인 Anthropic과 구글도 유사하게 에이전트형 시스템에 대한 아키텍처 제어와 지속적 스트레스 테스트가 필요하다고 주장합니다.

이와 더불어 OpenAI는 ‘LLM(대형 언어 모델) 기반 자동 공격자(automated attacker)’라는 자체 AI 해커를 훈련시켜 방어력을 강화하고 있습니다. 이 공격자 봇은 강화 학습(reinforcement learning)을 통해 AI 브라우저를 시뮬레이션 공격하고, 내부 의사결정 과정을 예측해 취약 지점을 찾아냅니다. 이를 통해 실제 해커보다 빠르게 약점을 드러낼 수 있다고 평가합니다.

그럼에도 불구하고 AI 브라우저는 공격자가 선호하는 ‘자율성(autonomy)’과 ‘접근권(access)’을 동시에 제공하기 때문에 완전히 안전하다고 볼 수 없습니다. 일반 브라우저가 정보를 ‘표시’하는 데 그치는 반면, AI 브라우저는 이메일을 읽고, 문서를 스캔하며, 링크를 클릭하고, 사용자를 대신해 행동할 수 있습니다. 이 과정에서 웹 페이지나 메시지에 숨겨진 하나의 악성 지시만으로도 큰 피해가 발생할 수 있습니다.

AI 브라우저 사용 위험을 줄이기 위해 다음과 같은 7가지 수칙을 권장드립니다:
1) 접근 권한 최소화: 꼭 필요한 데이터와 서비스만 연결합니다.
2) 민감 작업 시 확인 절차 요구: 이메일 전송, 결제, 계정 변경 등은 반드시 사용자 확인을 받습니다.
3) 비밀번호 관리자 활용: 모든 계정에 고유하고 강력한 비밀번호를 사용합니다.
4) 백신 소프트웨어 설치: 스크립트 기반 공격이나 이상 행동을 탐지합니다.
5) 명확한 지시 제공: “필요한 모든 작업을 처리”와 같은 광범위 명령은 피합니다.
6) 자동 요약·검사 주의: AI가 생성한 결과는 초안으로 보고 최종 승인 전 검토합니다.
7) 정기적 업데이트: 브라우저, AI 도구, 운영체제를 최신 상태로 유지합니다.

AI 브라우저는 편리하지만 아직 초기 단계인 기술입니다. 완전한 보안이 확보되기 전에는 기능에 현혹되기보다 위험과 이점을 신중히 고려하면서 사용하는 것이 바람직합니다.