보안업체 케이토 네트웍스(Cato Networks) 연구팀이 AI 기반 브라우저와 브라우저 보조 기능을 겨냥한 새로운 형태의 간접 프롬프트 인젝션(Indirect Prompt Injection) 공격을 시연했다. 이번 공격은 피싱, 민감 데이터 유출, 자격 증명 탈취, 악성코드 다운로드 등으로 이어질 수 있는 심각한 보안 위협을 초래할 수 있다. ‘해시잭(HashJack)’으로 명명된 이 공격은 URL의 해시 기호(#) 뒤, 즉 ‘URL 프래그먼트’ 또는 ‘명명된 앵커’로 불리는 구간에 악성 프롬프트를 삽입하는 방식으로 작동한다.

케이토 네트웍스는 보고서를 통해 “해시잭은 합법적인 웹사이트를 무기로 활용해 AI 브라우저 보조 기능을 조작할 수 있는 최초의 간접 프롬프트 인젝션 공격이다. 이로 인해 퍼플렉시티의 코멧(Comet), 마이크로소프트의 엣지 코파일럿(Copilot for Edge), 구글의 크롬 제미나이 등 주요 AI 브라우저가 다양한 악성 공격의 도구로 악용될 수 있다”라고 지적했다.

클라이언트측 공격

URL에서 # 문자는 여러 용도로 사용된다. 페이지 내 특정 구역으로 이동하게 하거나, 자바스크립트 코드에 어떤 콘텐츠를 표시할지 지시하거나, 사용자가 선택한 옵션 등 UI의 상태 정보를 저장하는 데 쓰인다.

중요한 점은 # 이후의 URL 프래그먼트 데이터가 웹서버나 네트워크로 전송되지 않는다는 것이다. 이 정보는 오직 브라우저나 이미 로드된 클라이언트 측 코드에서만 인식된다. 그런데 AI 브라우저 보조 기능은 현재 열려 있는 웹페이지의 컨텍스트를 분석하도록 설계되어 있어, # 뒤에 포함된 URL 프래그먼트도 함께 읽는다. 바로 이 구간에 악성 프롬프트가 삽입될 수 있다.

이 공격이 클라이언트 측에서만 이뤄진다는 점은 전통적인 네트워크 보안 체계로는 탐지가 불가능함을 의미한다. 침입탐지시스템(IDS)이나 침입방지시스템(IPS), 네트워크 방화벽 등은 이 데이터를 감지하지 못한다. 서버 로그 역시 # 이후의 데이터는 전송되지 않기 때문에 기록하지 않으며, 콘텐츠보안정책(CSP) 같은 브라우저 보안 기능도 페이지 자체가 수정되지 않았기 때문에 작동하지 않는다.

악성 링크 클릭하도록 유도하는 소셜 엔지니어링 공격

해시잭(HashJack)은 본질적으로 사용자를 속여 악성 링크를 클릭하게 만드는 소셜 엔지니어링 공격이다. 이메일, 채팅, 웹사이트, 문서 등에 특수하게 조작된 URL을 삽입해 사용자가 이를 클릭하도록 유도하는 방식이다. 문제는 이 링크가 합법적인 웹사이트로 보인다는 점이다.

예를 들어, 은행에서 발송된 것처럼 위장한 이메일이 ‘계정에서 의심스러운 활동이 감지됐다’라며 고객에게 안내를 보낸다고 가정해 보자. 이메일에 포함된 링크를 마우스로 가리키면 HTTPS 주소를 포함한 실제 은행 웹사이트로 연결되는 것처럼 보인다. 하지만 링크가 매우 길고, 그 안 어딘가에 # 기호 뒤로 AI 어시스턴트를 속이는 악성 프롬프트가 숨겨져 있다.

많은 사용자가 이런 메시지를 의심하지 않는다. 실제 은행 도메인을 포함하고 있을 뿐 아니라, 복잡한 파라미터가 섞인 긴 링크는 일상적으로 보이기 때문이다. 하지만 # 기호 이후에 숨겨진 프롬프트는 브라우저 내 AI 어시스턴트에 공격자가 조작한 명령을 실행하도록 지시한다. 예를 들어, 사용자가 ‘고객센터 문의’를 시도하면 공격자가 통제하는 전화번호나 왓츠앱 링크로 연결되도록 유도할 수 있다.

또 다른 시나리오에서는 링크에 포함된 프롬프트가 에이전트처럼 작동하는 AI 브라우저, 예를 들어 코멧에 명령을 내릴 수 있다. 이 경우 AI 브라우저는 사용자가 접속한 은행 사이트에서 계좌 정보, 거래 내역, 전화번호 등의 민감한 데이터를 가져와 공격자 서버로 전송하는 요청을 자동으로 생성하도록 조작될 수 있다.

또 다른 형태의 공격에서는 프롬프트가 AI 보조 기능을 속여 사용자에게 거짓 정보를 표시하도록 유도할 수 있다. 예를 들어 특정 주식을 홍보하는 허위 투자 조언, 조작된 가짜 뉴스, 잘못된 복용량을 안내하는 위험한 의학 정보, 컴퓨터의 백도어를 여는 악성 명령, 재인증을 요청하며 피싱 사이트로 연결되는 링크, 또는 맬웨어 다운로드 링크를 표시하게 만드는 방식이다.

일반적으로 URL 프래그먼트는 웹페이지의 실제 콘텐츠를 변경할 수 없다. 페이지 내에 이미 존재하는 코드에 따라 특정 위치로 이동하거나 화면 내 내비게이션을 수행하는 용도로만 사용되기 때문에 그 자체로는 무해한 요소로 여겨졌다. 그러나 이번 연구 결과에서 프래그먼트가 브라우저 내 AI 보조 기능이나 에이전트형 브라우저의 출력 결과를 조작하는 데 악용될 수 있음이 드러났다. 이는 URL 프래그먼트에 완전히 새로운 보안 위험 요소가 생겼다는 의미다.

연구팀은 “합법적인 웹사이트의 URL을 무기로 바꿀 수 있기 때문에 이번 발견이 특히 위험하다. 사용자는 신뢰할 수 있는 사이트를 보고, 신뢰하는 AI 브라우저를 이용하며, 그 결과 AI 보조 기능의 출력을 그대로 믿는다. 이런 구조적 신뢰가 기존 피싱 공격보다 훨씬 높은 성공률을 만들어낸다”라고 경고했다.

연구 결과, 테스트된 AI 보조 기능들은 제품별로 서로 다른 반응을 보였다. 대부분의 제품에서 프롬프트 인젝션을 통해 텍스트 출력이 조작됐지만, 악성 링크를 삽입하는 공격은 일부 브라우저에서 상대적으로 어려웠다. 예를 들어 크롬용 제미나이 어시스턴트에서는 일부 링크가 자동으로 검색 URL로 재작성되었고, 마이크로소프트 엣지의 코파일럿은 메시지 내 링크를 클릭할 때 추가 확인 절차를 요구해 공격 난이도가 높았다.

반면, 퍼플렉시티의 코멧은 단순한 내장형 AI 보조 기능이 아닌 에이전트형 브라우저로, 백그라운드에서 공격자 URL을 호출하고 여기에 컨텍스트 정보를 파라미터로 함께 전달할 수 있었다. 이 때문에 다른 브라우저보다 훨씬 취약한 것으로 나타났다.

마이크로소프트와 퍼플렉시티는 이번 해시잭 공격에 대응하는 보안 패치를 신속히 배포했다. 반면, 구글은 이 동작이 의도된 설계 범위 내의 행동이라고 판단하고 해시잭 기법을 취약점으로 간주하지 않았다. 케이토 네트웍스는 크롬용 클로드와 오픈AI의 오퍼레이터(Operator) 브라우저에서도 동일한 공격을 테스트했지만, 이들 브라우저에서는 해시잭 기법이 작동하지 않았다고 밝혔다.

dl-itworldkorea@foundryco.com