구글 보안팀, AI 에이전트 하이재킹 악성 페이로드 경고: 이론적 위협에서 실전 공격으로의 전환

구글 보안팀이 수십억 개의 웹 페이지를 대상으로 실시한 대규모 보안 감사 결과, 자율형 AI 에이전트를 겨냥한 악성 페이로드가 이론적 단계를 넘어 실제 환경에서 활발히 배포되고 있음이 드러났다. 2026년 4월 28일 현재, 이러한 공격 시나리오는 단순한 실험실 테스트가 아니라 정적 웹사이트와 공공 저장소에 매설된 실제 위협으로 확인되었다.

특히 이번 조사에서는 AI 에이전트를 속여 5,000달러 규모의 페이팔(PayPal) 무단 송금을 유도하거나 기업의 핵심 파일을 삭제하도록 설계된 페이로드가 발견되어 충격을 주고 있다. 이는 웹 환경 자체가 자율형 AI 비서들에게 거대한 지뢰밭으로 변모했음을 시사하는 위험한 신호다.

구글 보안팀은 매달 약 20억에서 30억 개의 웹 페이지를 크롤링하여 분석하는 과정에서 AI 에이전트를 조종하려는 '간접 프롬프트 주입(Indirect Prompt Injection, IPI)' 사례를 다수 발견했다. 연구진은 정적 사이트와 공공 코드 저장소를 집중적으로 조사했으며, 공격자들이 AI 에이전트의 작동 방식을 악용해 특정 행동을 강제하는 정교한 코드를 심어두었음을 확인했다.

자율형 AI 에이전트가 웹을 탐색하는 과정에서 정보 환경 자체가 새로운 도전 과제가 되고 있다. 이는 우리가 'AI 에이전트 함정'이라 부르는 취약점을 발생시킨다. 즉, 방문하는 에이전트를 조작, 기만 또는 착취하기 위해 설계된 적대적 콘텐츠다.

'AI 에이전트 함정'은 에이전트의 장기 기억과 지식 베이스를 조작하도록 설계된 적대적 콘텐츠를 의미한다. 특히 'RAG(검색 증강 생성) 지식 오염' 기법은 검색 코퍼스 내의 단 몇 개의 문서만 조작해도 AI 에이전트가 공격자가 의도한 거짓 정보를 검증된 사실로 받아들이게 만든다. 이러한 인지 상태 함정은 에이전트의 의사결정 프로세스 자체를 왜곡한다는 점에서 치명적이다.

실전 배치된 고위험 페이로드의 실체

포스포인트(Forcepoint)의 기술 분석에 따르면, 공격자들은 PayPal.me 링크와 함께 5,000달러라는 구체적인 금액, 그리고 사용자의 확인 절차를 우회하기 위해 에이전트에게 내리는 단계별 UX 지침을 포함시켰다. 에이전트가 이 페이지를 읽는 순간, 공격자가 설정한 '보내기' 버튼 클릭 등의 명령이 자동 실행될 위험이 있으며, 이는 금융 사기 범주에서 가장 높은 심각도로 분류된다.

• 깃허브 코파일럿(GitHub Copilot) 및 커서(Cursor) 등 IDE 통합형 어시스턴트
• 웹 리서치 기능을 수행하는 AI 기반 터미널 환경
• 자동화된 코드 리뷰를 수행하는 데브옵스(DevOps) 파이프라인
• 외부 데이터를 실시간으로 섭취하는 CI/CD 검토 도구

2026년 4월 발생한 Vercel 보안 사고는 이러한 위협이 기업 환경에 미치는 실질적인 영향을 보여준다. 서드파티 AI 도구인 Context.ai의 취약점을 통해 직원의 Vercel 및 구글 워크스페이스 계정이 탈취되었으며, 이는 AI 공급망 내의 신뢰 관계를 악용한 연쇄적인 계정 하이재킹으로 이어졌다. 기업용 시스템에 연결된 AI 에이전트가 공격자의 통로가 될 수 있음을 증명한 사례다.

2026년 1분기 OWASP GenAI 엑스플로잇 요약 보고서는 보안 지형의 근본적인 변화를 지적한다. 공격자들이 이제 단순한 모델 출력을 조작하는 수준을 넘어, 에이전트의 정체성 관리와 오케스트레이션 레이어를 직접 겨냥하고 있다는 분석이다. 이는 AI 보안이 단순한 필터링을 넘어 시스템 전체의 무결성을 보호하는 방향으로 진화해야 함을 의미한다.

지능형 방어 체계로의 전환

향후에는 여러 AI 시스템이 연결된 환경을 노리는 '체인형 취약점'과 다중 에이전트 엑스플로잇이 더욱 정교해질 것으로 전망된다. 뮌헨 재보험(Munich Re)의 2026년 사이버 리스크 보고서 역시 프롬프트 주입을 주요 위협으로 규정하며, 공격 기술의 고도화에 따른 대비를 촉구했다. 공격자들은 이제 에이전트 간의 상호작용을 이용해 보안 경계를 우회하는 방식을 개발하고 있다.

구글은 기업들이 AI 에이전트를 민감한 내부 시스템에 연결하면서도 실시간 모니터링 체계를 갖추지 않은 점을 가장 큰 보안 공백으로 꼽았다. 2026년 내내 이러한 표적형 공격이 지속될 것으로 예상됨에 따라, 에이전트의 활동을 실시간으로 감시하고 비정상적인 동작을 즉각 차단하는 기술적 방어선 구축이 시급하다.