가트너는 퍼플렉시티 코멧(Perplexity Comet)과 오픈AI의 챗GPT 아틀라스(ChatGPT Atlas)를 포함한 AI 브라우저가 충분히 완화하기 어려운 보안 위험을 안고 있다고 지적하며, 기업은 임직원이 이런 도구를 사용하지 못하도록 막아야 한다고 경고했다.
가트너 애널리스트 데니스 쉬, 예브게니 미로류보프, 존 와츠는 최근 발표한 리서치 노트에서 “가트너는 사이버보안 위험 때문에 당분간 기업이 모든 AI 브라우저를 차단할 것을 강력히 권고한다”라고 밝혔다. 3명의 애널리스트는 이미 확인된 위험에 더해 “아직 매우 초기 단계인 기술의 특성상 앞으로 발견될 다른 잠재적 위험”을 근거로 이런 권고를 내렸다고 설명했다.
AI 브라우저는 이미 기업 내에서 입지를 넓히고 있다. 사이버보안 업체 사이버헤이븐(Cyberhaven)은 지난 10월 기준 조사 대상 기업의 27.7%에서 최소 1명 이상이 아틀라스를 설치해 사용하고 있었으며, 일부 기업에서는 전체 직원의 최대 10%가 AI 브라우저를 적극 활용하고 있었다고 밝혔다. 또 기술 업계 67%, 제약 업계 50%, 금융 업계 40% 등 보안 요구 수준이 높은 산업에서 AI 브라우저 채택률이 특히 높게 나타났다고 전했다.
사이버헤이븐 분석에 따르면, 10월 21일 출시된 챗GPT 아틀라스는 7월 9일 공개된 퍼플렉시티 코멧보다 기업 환경에서의 다운로드 수가 62배 많았다. 아틀라스 출시 후 AI 브라우저 전반에 대한 관심도 다시 높아지면서 같은 주에 코멧 다운로드도 6배 급증했다.
하지만 챗GPT 아틀라스 출시 직후부터 AI 브라우저가 유발하는 위협, 특히 프롬프트 인젝션 취약점과 데이터 보안 문제에 대한 우려가 제기됐다.
민감 데이터 유출 위험
AI 브라우저가 문제로 지목되는 이유는 분석을 위해 활성 웹 콘텐츠와 브라우징 이력, 열려 있는 탭의 내용 등을 클라우드로 전송하는 과정에서 기업이 데이터 통제권을 잃을 수 있기 때문이다.
예를 들어, 퍼플렉시티의 설명 자료는 이런 위험을 인정하면서 “코멧은 질의에 응답하기 위해 퍼플렉시티 서버를 사용해 일부 로컬 데이터를 처리할 수 있다. 이는 코멧이 요청된 페이지의 텍스트나 이메일과 같은 컨텍스트를 읽어 요청된 작업을 수행한다는 의미”라고 밝혔다.
가트너의 수석 디렉터 애널리스트 예브게니 미로류보프는 “진짜 문제는 민감 데이터가 AI 서비스로 유출되면 되돌릴 수 없고 추적도 불가능하다는 점이다. 많은 기업이 한 번 잃어버린 데이터를 영영 되찾지 못할 수 있다”라고 경고했다.
데이터가 AI 서버로 전송되는 것만이 문제가 아니다. 그 결과로 AI 브라우저가 하는 일도 위험 요인이다. 미로류보프는 “잘못된 에이전트 트랜잭션이 발생하면 값비싼 오류가 생겼을 때 책임 소재를 가리기 어렵다”라고 지적했다.
기존 보안 통제로는 부족
AI 브라우저는 인증된 상태에서 웹사이트를 자동으로 탐색하고 양식을 채우고 트랜잭션을 완료할 수 있다. 가트너의 보고서는 이런 특성 때문에 AI 브라우저가 “간접 프롬프트 인젝션으로 유도된 악성 에이전트 행동, 부정확한 추론에 따른 잘못된 에이전트 행동, AI 브라우저가 피싱 사이트로 속아 들어갔을 때 자격 증명이 추가로 탈취·악용될 위험” 같은 새로운 사이버보안 위험에 특히 취약해진다고 분석했다.
미로류보프는 “AI 브라우저로 인한 새로운 위험에 기존 통제 수단만으로 대응하기에는 역부족이며, 이를 겨냥한 보안 솔루션은 이제 막 등장하기 시작한 수준이다”라고 지적했다. 이어 “특히 브라우저와 주고받는 멀티모달 통신, 예를 들어 AI 브라우저에 전달하는 음성 명령을 모니터링하는 영역에는 큰 공백이 있다”라고 덧붙였다.
오픈AI의 CISO 데인 스터키는 챗GPT 아틀라스 출시 다음 날 소셜미디어 X에 올린 글에서 “프롬프트 인젝션은 여전히 보안의 최전선에서 풀리지 않은 난제이며, 공격자는 챗GPT 에이전트가 이런 공격에 속아 넘어가게 만들기 위해 상당한 시간과 자원을 쏟을 것”이라고 위험을 인정했다.
드러난 취약점과 부족한 기술적 완성도
이론적인 위험을 넘어 두 주요 AI 브라우저에서 실제 보안 취약점도 잇따라 발견됐다. 챗GPT 아틀라스 출시 며칠 뒤 보안 연구진은 맥OS 버전에서 OAuth 토큰을 암호화하지 않은 채 지나치게 관대한 파일 권한 설정과 함께 저장해 사용자 계정에 무단 접근할 수 있는 가능성이 있다고 밝혀냈다. 이 취약점은 10월 27일 보안 연구 그룹 팀윈(Teamwin)이 관련 내용을 문서로 공개했다.
가트너가 해당 보고서의 조사를 마친 10월 31일 기준으로 오픈AI는 아직 이 문제에 대한 패치를 내놓지 않은 상태였다.
이와 별도로 사이버보안 업체 레이어X 시큐리티(LayerX Security)는 지난 8월 코멧에서 사용자 데이터를 공격자 서버로 빼돌릴 수 있는 “코멧재킹(CometJacking)” 취약점을 발견했다고 보고했다. 오픈AI와 퍼플렉시티는 이런 취약점과 관련한 논평 요청에 즉각 응답하지 않았다.
발견된 취약점은 AI 브라우저 기술 전반의 성숙도에 대한 우려를 불러 일으킨다. 미로류보프는 “보안과 프라이버시는 사후에 덧붙이는 요소가 아니라 설계 초기부터 핵심 원칙이 돼야 한다”라며, “AI 브라우저 업체는 처음부터 엔터프라이즈급 사이버 보안 통제를 내장하고, 데이터 흐름과 에이전트 의사결정 방식에 대해 더 높은 수준의 투명성을 제공해야 한다”라고 지적했다.
또 AI 사용을 통제하기 위한 솔루션이 성숙 단계에 이르기까지는 “몇 달이 아니라 수년이 걸릴 것”이라고 전망했다. 미로류보프는 “모든 위험을 완전히 없애기는 어렵다. AI 에이전트의 잘못된 행동은 계속 우려 요인으로 남을 것이다. 위험 감수 성향이 낮은 조직은 장기간 AI 브라우저를 차단한 채 운영해야 할 수도 있다”라고 덧붙였다.
가트너는 위험 감수 성향이 상대적으로 높은 기업이 AI 브라우저를 시험적으로 도입하고자 한다면, 검증과 롤백이 쉽고 위험도가 낮은 용도에 소규모 파일럿으로 한정해야 한다고 조언했다. 또한 사용자가 “AI 브라우저가 웹 리소스와 상호작용하면서 자율적으로 어떻게 탐색하는지를 항상 면밀히 모니터링해야 한다”라고 강조했다.
현재로서는 기업이 보유한 네트워크 및 엔드포인트 보안 통제를 활용해 AI 브라우저 설치를 차단하고, 사내 AI 활용 정책을 재점검해 AI 브라우저의 광범위한 사용을 금지하는 조항이 반영돼 있는지 확인해야 한다. 미로류보프는 “오늘날 대부분의 사이버 보안 조직은 AI 브라우저 채택을 미루고, 위험을 더 명확히 이해하고 통제 수단이 성숙할 때까지 AI 브라우저를 차단하는 전략을 택하고 있다”라고 밝혔다.
dl-itworldkorea@foundryco.com
Gyana Swain editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.