AI 브라우저 보안을 진단하는 사이버 보안 기업 스퀘어엑스(SquareX)가 충격적인 사실을 공개했다. 퍼플렉시티(Plexity AI)가 개발한 코멧(Comet) 브라우저에 삽입된 숨은 API가, 악성 확장 프로그램이 아무런 사용자 승낙 없이 로컬 명령을 실행하고 기기를 완전히 장악할 수 있도록 허용하고 있다는 것이다.

이번에 문제가 된 것은 ‘모델 컨텍스트 프로토콜(Model Context Protocol·MCP)’이라는 이름의 API다. 스퀘어엑스에 따르면 이 API는 브라우저 내 확장 기능이 원격으로 로컬 애플리케이션을 실행할 수 있도록 설계돼 있으며, 이와 같은 형태의 접근은 기존의 크롬, 사파리, 파이어폭스 등 주류 브라우저에서는 철저히 금지돼 있다. 더욱 심각한 점은 이 API에 대한 공식 문서가 거의 존재하지 않거나, 기능의 목표만 간략히 설명되어 있고, 실제 사용방식이나 보안 한계에 대한 설명이 없다는 것이다.

스퀘어엑스의 연구원 카빌란 삭시벨(Kabilan Sakthivel)은 “수십 년간 브라우저 보안은 사용자 기기와의 직접적인 연결을 차단하려는 원칙을 고수해 왔다”며, “그러나 퍼플렉시티는 이 원칙을 무시한 채, 대부분의 유저가 그 존재조차 모르는 API를 통해 이 같은 보안 우회를 허용했다”고 지적했다.

문제의 API는 코멧 브라우저의 ‘에이전틱(Agentic)’ 확장 기능에 탑재돼 있으며, 이를 통해 퍼플렉시티 웹사이트는 사용자의 허락 없이 로컬 데이터에 접근하고, 임의의 명령을 실행할 수 있게 된다. 스퀘어엑스는 현재까지 퍼플렉시티가 이 API를 악용했다는 증거는 없다고 밝혔지만, 시스템이 허술한 만큼 제3자가 이를 손쉽게 이용할 수 있다고 경고했다. 예컨대 크로스사이트스크립팅(XSS), 피싱, 내부자 유출과 같은 단 한 번의 해킹만으로도 코멧 사용자 전체가 기기 통제권을 빼앗길 수 있다는 것이다.

스퀘어엑스는 API의 악용 가능성을 입증하기 위해 데모 영상을 제작했다. 해당 영상에서는 가짜 애널리틱스 확장 프로그램이 퍼플렉시티 웹페이지에 악성 스크립트를 삽입하고, 이를 통해 에이전틱 확장을 호출해 결국 MCP로 워너크라이(WannaCry) 랜섬웨어를 실행하는 과정이 고스란히 보여졌다. 이 과정에서 각 단계는 철저히 위장되었고, 사용자나 보안 관리자 누구도 확장 기능의 동작을 인지할 수 없는 구조였다.

스퀘어엑스는 이처럼 사용자 동의를 받지 않은 시스템 레벨 접근이 가능하도록 해놓은 것에 대해 “AI 브라우저 초기 구현에서 발생할 수 있는 치명적인 제3자 리스크”라고 평가했다. 특히 해당 확장 기능들이 사용자의 확장 프로그램 관리 대시보드에서도 보이지 않도록 숨겨져 있다는 사실은 보안을 더욱 위협한다고 덧붙였다.

퍼플렉시티 측은 해당 보고서 발표에 앞서 이 문제에 대해 통보를 받았지만, 공식 입장을 밝히지 않았다. 이에 대해 스퀘어엑스의 창립자 비벡 라마찬드런(Vivek Ramachandran)은 “현재 AI 브라우저가 탑재하고 있는 장치 제어 API는 사용자 기기 전체를 노출시키는 위험한 수준”이라며, “이 정도 권한을 가진 소프트웨어는 반드시 사용자 동의와 검증 과정을 거쳐야 한다”고 강조했다.

AI 브라우저가 가져다주는 생산성과 편의성은 분명하지만, 그 이면에 감춰진 보안 취약점은 치명적일 수 있다는 경고가 제기되고 있다. 이번 스퀘어엑스의 연구 결과는 AI 기술의 통합이 사용자 신뢰와 투명성을 희생해서는 안 된다는 냉엄한 현실을 보여준다.