사이버 범죄가 진화하고 있습니다.
솔직히 말해, AI 에이전트가 웹을 탐색하고, 기사를 요약하고, 항공권을 예약하고, 심지어 — 이제는 — 당신의 은행 계좌까지 비워버리는 시나리오, 다들 들어보셨을 겁니다. 구글이 최근 발표한 보고서에 따르면, 악성 웹페이지들이 ‘간접 프롬프트 주입(indirect prompt injection)’이라는 기법을 통해 AI 에이전트를 적극적으로 납치하고 있다는 소름 끼치는 동향이 포착되었습니다. 이건 마치 디지털 지뢰밭과 같습니다. 인간이라면 악성 팝업을 보겠지만, AI는 내장된 코드가 발동되면서 — 그 결과는 이미 금전적인 피해로 이어지고 있습니다.
2025년 11월부터 2026년 2월까지 이러한 공격이 32%나 급증했다는 사실은 단순한 통계가 아닙니다. 이건 명백한 비상 경고등입니다. 공격자들은 더 이상 장난 수준에 머무르지 않습니다. (AI가 새처럼 트윗하게 만드는 — 이것도 실제로 벌어지고 있다고 합니다). 우리는 평범한 HTML 안에 눈에 보이지 않게 숨겨진 완벽하게 명시된 페이팔 거래 지시를 발견했습니다. 합법적인 결제 자격을 갖춘 AI 에이전트는 이 숨겨진 명령을 읽고 — 네, 예상하신 대로 — 다른 사람에게 돈을 보내는 겁니다. 여기서 가장 황당한 점은요, 로그 기록이 정상적인 작동과 완전히 동일하다는 것입니다. 이상 로그인도, 무차별 대입 공격도 없었습니다. 그저 잘못된 상사의 지시에 충실히 따랐을 뿐인 AI뿐이죠.
보이지 않는 잉크, 보이는 위험
이건 할머니가 보내주시던 피싱 메일과는 차원이 다릅니다. 공격자들은 점점 더 교묘해지고 있습니다. 텍스트 크기를 1픽셀로 줄이거나, 색상을 거의 투명하게 만들거나, HTML 주석과 메타데이터 안에 명령어를 숨기는 등의 기법을 사용합니다. 사람은 깨끗한 웹페이지를 보지만, AI는 악성 할 일 목록을 보는 셈입니다. 이는 권한이 커질수록 공격 표면도 함께 확장되는 고전적인 사례입니다. 단순한 콘텐츠 요약만 하는 AI는 괜찮습니다. 하지만 터미널 명령어를 실행하거나 결제를 처리할 수 있는 AI라면? 이건 완전히 다른 차원의 문제이며, 악당들에게 훨씬 더 탐나는 먹잇감입니다.
또 다른 사이버 보안 업체인 포스포인트(Forcepoint)도 마찬가지로 충격적인 발견을 내놓았습니다. 이들은 페이팔을 겨냥할 뿐만 아니라, 교묘한 메타 태그 조작을 통해 AI가 중개하는 결제를 스트라이프(Stripe) 기부 링크로 우회시키는 페이로드까지 발견했습니다. 이는 개별 실험의 수준을 넘어, 이러한 종류의 공격을 위한 인프라 구축에 가깝습니다. 누군가 아직 대규모 군대를 배치하진 않았더라도, 이미 툴킷을 만들고 있는 셈입니다. 구글 팀의 말은 매우 직접적입니다. 공격의 규모와 정교함은 계속 증가할 것이며, 포스포인트는 이에 대응할 시간이 코드가 잘못된 거래처럼 빠르게 닫히고 있다고 경고합니다.
권한이 커질수록 공격 표면도 함께 확장된다.
AI가 훔치면 누가 배상하나?
이 지점이 정말 모호해지는 부분입니다. 기업의 핵심 위험은 단순히 돈을 잃는 것 이상입니다. 바로 법적 책임입니다. 회사에서 승인한 모든 자격을 갖춘 AI 에이전트가 임의의 웹사이트에서 가져온 사기 거래를 실행했을 때, 누가 책임을 져야 할까요? AI 에이전트를 배포한 회사일까요? 아니면 회사의 지시에 충실히 따랐을 AI 모델 제공업체일까요? 혹은 자신의 디지털 공간이 범죄 현장으로 둔갑한 사실조차 모를 웹사이트 소유자일까요? 현재로서는 이에 대한 법적 프레임워크가 전무하며, 시나리오가 더 이상 이론적이지 않은 상황에서는 이것이 엄청난 문제입니다.
이것은 직접적인 금전적 공격 벡터이며, FBI는 2025년 한 해 동안 AI 관련 사기 손실액이 거의 9억 달러에 달한다고 이미 집계했습니다. 이것은 먼 미래의 문제가 아닙니다. 지금 일어나고 있으며, 금전적 사기는 이제 막 수면 위로 드러나기 시작했습니다.
익숙한 멜로디, 새로운 악기
혹시 카피파스타(CopyPasta) 공격을 기억하시나요? 당시에는 악성 코드가 간단한 ‘readme’ 파일에 숨겨져 개발자 도구를 통해 퍼졌습니다. 이것은 같은 개념이지만, 코드 대신 돈이 탈취되는 것입니다. 오래된 공격 벡터가 신기술과 만나 새로운 생명을 얻는다는 증거입니다. 시스템을 속여서는 안 되는 명령어를 실행하게 만드는 근본적인 취약점은 새로운 것이 아니지만, 광범위한 웹 접근 권한과 결제 능력을 가진 AI 에이전트라는 매체는 — 무섭도록 효과적인 새로운 악기입니다.
구글과 포스포인트가 상세히 설명한 이 최신 공격 물결은 단순한 보안 프로토콜 우회가 아닙니다. 바로 우리가 이러한 자율 에이전트에 구축하고 있는 신뢰 자체를 악용하는 것입니다. OWASP는 이미 프롬프트 주입을 LLM 애플리케이션의 가장 치명적인 취약점으로 지정했으며, 이는 이러한 금전적 페이로드가 실제 세상에 등장하기 전의 일이었습니다. AI의 경계를 넓힐수록, 우리는 새롭고 잠재적으로 훨씬 더 수익성이 높은 공격 표면을 만들어낸다는 것을 — 냉혹하게 상기시켜 줍니다.
온라인 신뢰의 미래는?
그렇다면 이것이 당신의 일상적인 온라인 경험에 무엇을 의미할까요? 이는 AI 에이전트가 당신을 대신하여 웹과 상호작용할 때마다 — 상당한 위험이 존재한다는 것을 의미합니다. 우리는 사실상 웹페이지에 보이지 않는 텍스트에 쉽게 속을 수 있는 시스템에 우리의 디지털 지갑 열쇠를 넘겨주고 있는 셈입니다. 이는 신뢰의 역설입니다. AI 에이전트가 유용하려면 능력이 있어야 하지만, 그 능력 때문에 표적이 되기 쉽다는 것입니다. 현재의 보안 조치, 그리고 더 중요하게는 법적 프레임워크가 혁신과 악용의 속도를 훨씬 뒤처지고 있습니다.
이것은 단순히 당신의 페이팔을 보호하는 것을 넘어섭니다. 온라인 거래의 근본적인 무결성과 우리가 디지털 어시스턴트에게 부여하는 신뢰에 관한 문제입니다. AI 에이전트가 사기꾼에게 돈을 보내도록 속임을 당하지 않을 것이라고 보장할 수 없다면, 금융 업무에서 이러한 에이전트의 유용성은 심각하게 손상될 것입니다.
🧬 관련 인사이트
자주 묻는 질문
간접 프롬프트 주입 공격이란 무엇인가요? 간접 프롬프트 주입 공격은 인간 사용자가 아닌 AI 에이전트가 읽고 실행하도록 설계된 웹사이트나 외부 데이터 소스에 악성 지침이 삽입될 때 발생합니다. 이러한 지침은 AI의 행동을 조작하여 사기 결제와 같은 무단 작업을 유도할 수 있습니다.
제 페이팔 계정은 AI 에이전트 공격으로부터 안전한가요? 이 공격은 결제 기능을 갖춘 AI 에이전트를 대상으로 하지만, 귀하의 직접적인 페이팔 계정 보안은 귀하의 개인 자격 증명과 AI가 귀하의 계정과 상호 작용하도록 승인하는 방식에 달려 있습니다. 위험은 귀하 또는 귀하의 회사에서 사용하는 AI 에이전트가 악성 웹사이트를 통해 손상되어 귀하를 대신하여 무단 거래를 실행할 때 발생합니다.
이것이 인간의 일자리를 대체할까요? 이 특정 위협이 전통적인 의미에서 인간의 일자리를 직접적으로 ‘대체’하지는 않습니다. 하지만 손상된 AI 에이전트가 과거에는 사기에 인간의 개입이 필요했을 수도 있는 악의적인 작업을 수행할 수 있음을 강조합니다. 또한 AI 기반 금융 거래에서 인간 감독의 미래 역할에 대한 질문을 제기합니다.
