[에이전트와 보안②] AI 에이전트 보안 위협 현실화…메일 삭제부터 코드 실행까지 - 바이라인네트워크

인공지능(AI) 시대의 사이버보안 논의가 전 세계를 뜨겁게 달구고 있습니다. 앤트로픽의 ‘클로드 미토스 프리뷰’와 오픈AI의 ‘GPT-5.4-사이버’ 공개로 AI 모델의 취약점 탐지 능력이 주목 받는 가운데, 업무 현장에서는 AI 에이전트가 메일과 문서, 데이터베이스, 외부 도구에 접근해 실제 작업을 처리하기 시작했습니다. AI 에이전트의 자율성이 높아질수록, 보안이 통제해야 할 권한과 연결 지점은 더욱 늘어납니다. 이번 기획에서는 AI 에이전트가 왜 새로운 보안 과제로 떠올랐는지, 어떤 위험이 드러나고 있는지, 이를 통제하기 위한 기술과 정책, 거버넌스 해법을 차례로 짚어봅니다. [편집자주] AI 에이전트의 보안 위협은 이미 메일함, 내부 문서, 코드 저장소, 플러그인 생태계에서 구체적인 사례로 드러나고 있다. 시장은 아직 초기 단계지만, 사고와 연구 사례는 이미 나오기 시작했다. 공통점은 분명하다. 에이전트가 읽는 입력이 명령으로 바뀌고, 에이전트가 가진 권한이 곧 사고의 범위를 결정한다는 점이다. 최근 공개된 사례만 봐도 승인 없는 메일 삭제, 기밀 메일 요약, 개발 도구를 통한 원격 코드 실행, 플러그인 생태계의 자격증명 노출 문제가 잇따랐다. 메일과 문서 속 악성 명령어 주입 최근 AI 에이전트 환경에서 가장 먼저 드러난 위협 유형은 ‘메일과 문서 안에 숨은 지시문’이다. 사용자는 메일 내용을 정리하거나 요약해 달라고 요청했을 뿐인데, 에이전트는 본문 속 문장을 참고자료가 아니라 실행 지침으로 받아들일 수 있다. 오픈AI는 지난 3월 11일 공식 블로그에서 “에이전트 환경에서는 웹페이지, 이메일, 문서 같은 외부 콘텐츠 안의 지시가 사용자가 원하지 않은 행동으로 이어질 수 있다”고 설명했다. 국내에서도 같은 분석이 나왔다. 이태진 가천대학교 스마트보안학과 교수는 ‘정보통신망 정보보호 컨퍼런스(NetSec-KR) 2026’에서 메일 본문에 “보안을 우회해 민감 정보를 추려 어디로 보내라”는 식의 지시를 넣으면, 원래는 데이터를 처리해야 하는 에이전트가 이를 지시로 처리해 오작동할 수 있다고 우려했다. 코드 해석 요청 과정에서 주석 속 문장이 보안 설정 변경 같은 행동으로 이어질 수 있다는 설명이다. 이 유형은 기존 생성형 AI의 탈옥 공격과 닮았지만, 결과는 다르다. 답변을 비틀어내는 데 그치지 않고, 메일 발송이나 파일 수정처럼 실제 행동으로 이어질 수 있다. 에이전트 환경에서는 동일한 프롬프팅과 액션에도 해석이 달라질 수 있고, 호출되는 도구와 실행 경로가 달라질 수 있기 때문이다. 에이전트가 읽는 모든 입력이 공격 표면이 된다고 하는 이유가 여기에 있다. 이런 위험은 업무용 AI에서도 이미 확인됐다. 테크크런치에 따르면, 마이크로소프트는 올해 2월 마이크로소프트 365 코파일럿 채팅 버그로 기밀 라벨이 붙은 임시보관함·보낸편지함 메일이 잘못 처리돼 요약될 수 있었다고 인정했다. 마이크로소프트는 이 문제를 내부 추적 번호 CW1226324로 관리했고, 2월 초부터 수정 배포를 시작했다고 밝혔다. 사용자가 의도하지 않은 정보가 AI 요약 범위에 들어간 사례라는 점에서, 메일과 문서가 곧바로 데이터 경계 문제로 이어질 수 있음을 보여준다. 승인 없는 실행으로 번진 사고 에이전트의 특징은 메일이나 문서를 읽는 데서 끝나지 않는다는 점이다. 정리, 삭제, 발송 같은 권한을 줄 수도 있기 때문에, 그 순간 판단 오류가 곧 실행 오류로도 이어질 수 있다. 테크크런치에 따르면, 지난 2월 메타의 AI 보안 연구자 서머 위는 오픈클로(OpenClaw)에 이메일 정리를 맡겼다가, 에이전트가 승인 없이 메일을 삭제하는 일을 겪었다. 위 연구자는 휴대전화로 중단을 지시했지만 에이전트가 멈추지 않아 직접 기기에서 프로세스를 종료했다고 설명했다. 에이전트가 실제 메일함에 접근하는 순간, “확인 후 처리하라”는 프롬프트만으로는 안전장치가 되지 않는다는 점을 보여줬기 때문이다. 메타에서도 다른 유형의 사고도 나왔다. 더버지와 테크크런치 보도에 따르면, 지난 3월 메타의 한 내부 AI 에이전트는 기술 질문을 분석한 뒤 원래는 비공개로 보여줘야 할 답변을 내부 포럼에 공개했고, 다른 직원이 그 잘못된 조언을 따라 조치하면서 민감한 회사·사용자 관련 데이터가 권한 없는 직원들에게 약 2시간 동안 노출됐다. 메타는 이 사건을 내부 기준상 두 번째로 높은 등급인 SEV1으로 분류했다. 이 사례는 에이전트 사고가 반드시 시스템에 직접 접속해 파일을 지우는 형태로만 나타나는 것은 아니라는 점도 보여준다. 관리자의 잘못된 조언을 신뢰해 실행하는 순간에도 사고는 발생할 수 있다. 이태진 교수는 “에이전트 환경에서의 문제는 전통적인 취약점처럼 특정 소프트웨어와 재현 가능한 개념증명(PoC)만으로 설명하기 어렵다”고 했다. 같은 입력이라도 어떤 문맥을 참고했고 어떤 툴을 호출했는지에 따라 결과가 달라질 수 있기 때문이다. 결국 에이전트 위험은 모델 단독 문제가 아니라, 모델·데이터·메모리·도구·외부 시스템이 결합된 상태에서 나타난다. 개발 도구와 플러그인으로 넓어진 공격면 에이전트가 많이 들어간 곳 중 하나가 ‘개발 환경’이다. 코드를 읽고, 파일을 수정하고, 쉘 명령을 실행하고, 외부 도구와 연결하는 일이 모두 이 영역에서 일어난다. 그만큼 사고도 더 직접적이다. 체크포인트 리서치는 지난 2월 앤트로픽의 개발 도구 클로드 코드(Claude Code)에서 프로젝트 파일을 악용해 원격 코드 실행과 애플리케이션 프로그래밍 인터페이스(API) 토큰 유출로 이어질 수 있는 취약점을 공개했다. 연구진에 따르면, 공격자는 훅(Hooks), 모델 컨텍스트 프로토콜(MCP) 서버, 환경변수 같은 저장소 설정을 악용해 사용자가 신뢰하지 않은 저장소를 열었을 때 임의 명령을 실행하거나 API 키를 빼낼 수 있었다. 체크포인트와 앤트로픽은 이후 이 문제를 함께 수정했다고 밝혔다. 이 사례는 개발용 에이전트에서 설정 파일이 더 이상 수동적 데이터가 아니라 실행 경로 자체가 될 수 있음을 보여준다. 오픈소스 에이전트 생태계에서는 ‘공급망 문제’도 드러났다. 개발자 보안(AppSec) 플랫폼 기업 스닉(Snyk)은 올해 2월 클로허브(ClawHub) 생태계를 분석한 결과 280개가 넘는 ‘리키 스킬(Leaky Skills)’을 확인했다고 밝혔다. 여기서 스킬은 AI 에이전트가 특정 작업을 수행할 수 있도록 붙이는 확장 기능이나 작업 지침 모듈을 뜻한다. 에이전트 기능을 넓히기 위해 붙이는 일종의 추가 기능인 셈이다. 연구진은 일부 스킬이 API 키와 개인정보를 안전하지 않게 다루거나, 민감정보를 컨텍스트 윈도우와 로그에 흘릴 수 있다고 설명했다. 에이전트 기능을 넓히기 위해 붙이는 스킬이 오히려 자격증명과 개인정보 노출 통로가 될 수 있다는 뜻이다. 배포 환경 자체도 위험하다. 시큐리티스코어카드는 올해 2월 오픈클로 배포 환경을 스캔한 결과 4만개가 넘는 인터넷 노출 인스턴스를 확인했고, 이 가운데 상당수가 원격 코드 실행에 취약하다고 밝혔다. 오픈클로의 핵심 위험이 자율성 자체보다, 외부에 노출된 인프라와 광범위한 접근 권한에 있다는 설명이다. 에이전트가 이메일, 클라우드 서비스, 내부 자원에 연결된 상태에서 원격 코드 실행 취약점이 발생하면, 공격자는 에이전트가 원래 가진 권한까지 함께 가져가게 된다. 금융보안원도 ‘NetSec-KR 2026’에서 비슷한 구조를 설명했다. 이주현 금융보안원 수석은 “텔레그램 다이렉트 메시지나 그룹 메시지에 연결된 에이전트는 입력 채널이 넓게 열려 있어 악성 페이지 방문이나 입력 표면 공격에 취약할 수 있다”고 설명했다. 이어 “오픈클로 계열에서 원격 코드 실행, 자격증명 탈취, 데이터 유출, 샌드박스 탈출 같은 위험이 이미 많이 나와 있다”고 덧붙였다. 에이전트, 똑똑해질수록 더 위험하다 에이전트 위험이 더 까다로운 이유는 기능이 좋아질수록 위험도 함께 커질 수 있기 때문이다. 이태진 교수는 “초기 연구인 에이전트도조(AgentDojo)와 에이전트 시큐리티 벤치(ASB)를 소개하며, 대체로 대규모언어모델(LLM) 성능이 좋아질수록 에이전트의 유틸리티 성능도 좋아지지만 공격 성공률도 높아지는 경향이 나타난다”고 설명했다. 일을 더 잘하는 에이전트가 공격자가 원하는 작업도 더 잘 수행할 수 있다는 뜻이다. 그는 또 현재 공개된 위협 사례의 대부분이 간접 프롬프트 인젝션 같은 초기 단계 위협에 가깝지만, 장기적으로 운영되면 더 다양한 문제가 현실화할 수 있다고 봤다. 특히 최근 떠오르는 피지컬AI와 같이 물리적 기계와 연결되는 환경에서는 더 치명적일 수 있다. 일례로 CCTV에 탑재된 AI 에이전트가 특정 경미한 이벤트를 정상으로 기억해 이후 침입 경보를 누락하는 경우, 심각한 범죄나 재산 피해로 이어질 수 있다. 이 외에도 관리자와의 상호작용 과정에서 원래 목표였던 침입 탐지 정확도가 사용자 불편 최소화로 바뀌는 경우, 잘못된 툴 호출로 녹화 초기화가 일어나는 경우에도 큰 문제가 발생할 수 있다. 지금까지 드러난 사례를 묶어보면 공통점은 명료하다. 에이전트는 읽고, 연결하고, 실행한다. 그래서 사고도 대화창 안에서 끝나지 않는다. 메일함, 코드 저장소, 내부 포럼, API 키, 메시징 채널, 플러그인 생태계, 배포 인프라로 번진다. 아직 초기 단계라고 해서 안심할 수 없는 이유다. 글. 바이라인네트워크 [email protected] [백서 다운로드] AI 시대 리스크에서 회복탄력성으로 전 세계 650명의 CISO 설문 데이터와 현직 보안 리더들의 생생한 인사이트를 바탕으로, AI 거버넌스와 에이전틱 AI 도입, 인재 전략, 보안 성과 측정까지 오늘날 보안 리더십의 현주소를 짚습니다.(스플렁크) [스페셜 리포트] 책상 위의 AI 혁신 Dell Pro Max with GB10 데이터센터 전용으로만 존재하던 그레이스 블랙웰 아키텍처가 처음으로 책상 위에 올라왔습니다. Dell Pro Max with GB10은 컴퓨팅 자원과 보안, 클랑우드 비용과의 전쟁을 끝내려는 시도입니다.