SECURITY · 2025. 12. 23.

OpenAI “AI 브라우저의 프롬프트 인젝션 공격, 완전한 해결은 불가능”

OpenAI가 AI 브라우저 환경에서 프롬프트 인젝션 공격은 구조적으로 완전 차단이 불가능하다고 공식 인정했다. AI 에이전트 기반 브라우저의 보안 한계와 대응 전략을 정리한다.

OpenAI

OpenAI “AI 브라우저의 프롬프트 인젝션 공격, 완전한 해결은 불가능”

OpenAI가 AI 브라우저는 프롬프트 인젝션(prompt injection) 공격에 구조적으로 취약할 수밖에 없다고 공식 인정했다.
이는 최근 공개된 OpenAI 블로그를 통해 밝혀진 내용으로, AI 에이전트가 웹을 직접 탐색하고 행동하는 환경에서 보안의 근본적 한계가 존재함을 시사한다.

프롬프트 인젝션 공격이란?

프롬프트 인젝션은 웹페이지, 이메일, 문서 등에 숨겨진 명령어를 삽입해 AI가 의도하지 않은 행동을 수행하도록 유도하는 공격 방식이다.

OpenAI는 이를 다음과 같이 정의했다.

“프롬프트 인젝션은 웹상의 사기나 소셜 엔지니어링처럼, 완전히 해결되기 어려운 문제다.”

즉, 방어 수준을 높일 수는 있지만 완벽한 차단은 현실적으로 불가능하다는 입장이다.

ChatGPT Atlas 브라우저의 보안 한계

OpenAI는 지난 10월 ChatGPT Atlas AI 브라우저를 출시했다.
그러나 출시 직후 보안 연구자들은 Google Docs 문서에 몇 줄의 텍스트만 삽입해도 브라우저의 동작을 변경할 수 있다는 시연을 공개했다.

같은 시점에: • Brave는 AI 브라우저 전반이 간접 프롬프트 인젝션에 구조적으로 취약하다는 분석을 발표했고
• Perplexity의 AI 브라우저 Comet 역시 유사한 취약점을 갖고 있다는 지적이 나왔다.

OpenAI는 이에 대해 다음과 같이 인정했다.

“ChatGPT Atlas의 에이전트 모드(agent mode)는 보안 공격 표면을 확장시킨다.”

전 세계 보안 기관도 같은 경고

이 문제는 OpenAI만의 고민이 아니다.

영국 국가사이버보안센터
National Cyber Security Centre(NCSC) 역시 최근 보고서에서: • 생성형 AI 앱에 대한 프롬프트 인젝션 공격은
“완전히 제거되지 않을 가능성이 크다” • 따라서 차단(stop) 이 아니라
위험 감소(risk reduction) 전략이 필요하다고 경고했다.

OpenAI의 대응 전략: AI로 AI를 공격한다

OpenAI가 선택한 해법은 LLM 기반 자동화 공격자(automated attacker) 다.

이는 강화학습(RL)으로 학습된 AI가 해커 역할을 수행하는 방식으로: • AI 에이전트에 악성 지시를 주입하는 방법을 스스로 탐색 • 공격 → 결과 분석 → 공격 전략 개선 • 수십~수백 단계의 복합 공격 시나리오 테스트

OpenAI는 이 과정에서:

“인간 레드팀이나 외부 보고서에서는 발견되지 않았던 새로운 공격 전략을 확인했다”

고 밝혔다.

이 접근법은 Anthropic, Google 등 다른 AI 기업들이 채택 중인 다층 방어 + 지속적 스트레스 테스트 전략과도 맞닿아 있다.

실제 시연 사례: 이메일 프롬프트 인젝션

OpenAI

OpenAI가 공개한 데모에는 다음과 같은 시나리오가 등장한다. • 공격자가 악성 이메일을 받은편지함에 삽입 • AI 에이전트가 이메일을 스캔하며 숨겨진 명령 실행 • 원래는 자동 응답(Out of Office)을 작성해야 했지만 • 대신 사직(resignation) 이메일을 발송

보안 업데이트 이후에는: • Atlas 에이전트 모드가 이를 프롬프트 인젝션으로 감지 • 사용자에게 경고를 표시했다고 OpenAI는 설명했다.

사용자에게 권장되는 보안 수칙

OpenAI와 보안 전문가들은 사용자 설정의 중요성을 강조한다.

사이버보안 기업 Wiz의 보안 연구원
Rami McCarthy는 다음과 같이 설명했다.

“AI 시스템의 위험은 자율성 × 접근 권한으로 판단할 수 있다.”

AI 브라우저는: • 중간 수준의 자율성 • 매우 높은 접근 권한(이메일, 결제 정보 등) 을 동시에 갖고 있어 위험도가 높다.

이에 따라 권장되는 설정은 다음과 같다. • 메시지 전송·결제 전 사용자 확인 필수 • “알아서 처리해” 같은 광범위한 권한 부여 금지 • 명확하고 구체적인 지시만 제공

AI 브라우저는 아직 ‘위험 대비 효용’의 영역

OpenAI는 프롬프트 인젝션을 장기적 AI 보안 과제로 규정하며, 지속적인 테스트와 빠른 패치 주기를 통해 대응하겠다고 밝혔다.

그러나 McCarthy는 회의적인 평가도 덧붙였다.

“대부분의 일상적 사용 사례에서
에이전트형 브라우저는 아직 그 위험을 감수할 만큼의 가치를 제공하지 못한다.”

AI 브라우저는 분명 강력하다.
하지만 그 힘만큼 위험 역시 함께 진화하고 있다.

이 글 공유하기

취미 블로그

SECURITY · 2025. 12. 23.

OpenAI “AI 브라우저의 프롬프트 인젝션 공격, 완전한 해결은 불가능”

OpenAI

OpenAI “AI 브라우저의 프롬프트 인젝션 공격, 완전한 해결은 불가능”

프롬프트 인젝션 공격이란?

프롬프트 인젝션은 웹페이지, 이메일, 문서 등에 숨겨진 명령어를 삽입해 AI가 의도하지 않은 행동을 수행하도록 유도하는 공격 방식이다.

OpenAI는 이를 다음과 같이 정의했다.

“프롬프트 인젝션은 웹상의 사기나 소셜 엔지니어링처럼, 완전히 해결되기 어려운 문제다.”

즉, 방어 수준을 높일 수는 있지만 완벽한 차단은 현실적으로 불가능하다는 입장이다.

ChatGPT Atlas 브라우저의 보안 한계

OpenAI는 이에 대해 다음과 같이 인정했다.

“ChatGPT Atlas의 에이전트 모드(agent mode)는 보안 공격 표면을 확장시킨다.”

전 세계 보안 기관도 같은 경고

이 문제는 OpenAI만의 고민이 아니다.

OpenAI의 대응 전략: AI로 AI를 공격한다

OpenAI가 선택한 해법은 LLM 기반 자동화 공격자(automated attacker) 다.

OpenAI는 이 과정에서:

“인간 레드팀이나 외부 보고서에서는 발견되지 않았던 새로운 공격 전략을 확인했다”

고 밝혔다.

이 접근법은 Anthropic, Google 등 다른 AI 기업들이 채택 중인 다층 방어 + 지속적 스트레스 테스트 전략과도 맞닿아 있다.

실제 시연 사례: 이메일 프롬프트 인젝션

OpenAI

보안 업데이트 이후에는: • Atlas 에이전트 모드가 이를 프롬프트 인젝션으로 감지 • 사용자에게 경고를 표시했다고 OpenAI는 설명했다.

사용자에게 권장되는 보안 수칙

OpenAI와 보안 전문가들은 사용자 설정의 중요성을 강조한다.

사이버보안 기업 Wiz의 보안 연구원
Rami McCarthy는 다음과 같이 설명했다.

“AI 시스템의 위험은 자율성 × 접근 권한으로 판단할 수 있다.”

AI 브라우저는: • 중간 수준의 자율성 • 매우 높은 접근 권한(이메일, 결제 정보 등) 을 동시에 갖고 있어 위험도가 높다.

AI 브라우저는 아직 ‘위험 대비 효용’의 영역

OpenAI는 프롬프트 인젝션을 장기적 AI 보안 과제로 규정하며, 지속적인 테스트와 빠른 패치 주기를 통해 대응하겠다고 밝혔다.

그러나 McCarthy는 회의적인 평가도 덧붙였다.

“대부분의 일상적 사용 사례에서
에이전트형 브라우저는 아직 그 위험을 감수할 만큼의 가치를 제공하지 못한다.”

AI 브라우저는 분명 강력하다.
하지만 그 힘만큼 위험 역시 함께 진화하고 있다.

이 글 공유하기