구글(GOOGL)의 인공지능 제품군 '제미니(Gemini)'에서 발견된 보안 취약점 3건이 AI 시스템의 간접 프롬프트 인젝션 위험성을 여실히 드러냈다. 글로벌 사이버보안 기업 테너블(Tenable) 보고서에 따르면, '제미니 트라이팩타(Gemini Trifecta)'로 명명된 이 취약점들은 각각 클라우드 로그 분석, 검색 맞춤화, AI 브라우징 기능에 영향을 미친 것으로 조사됐다.
보고서에 인용된 세부 내용에 따르면, 첫 번째 취약점은 클라우드 로그 요약 기능인 '제미니 클라우드 어시스트'에 존재했다. 공격자는 사용자의 로그에 악성 페이로드를 삽입해 기본적인 디버깅 과정 중에도 악성 명령이 실행되도록 할 수 있었다. 특히 사용자 에이전트 헤더를 조작해 해당 데이터를 클라우드 로깅 시스템에 저장하면, 이후 로그 요약 시 AI가 이 내용을 신뢰하고 실행하게 되는 구조였다. 이로 인해 피싱 링크 생성이나 클라우드 내 민감 데이터 쿼리 실행 등 2차 공격이 가능해졌다.
두 번째 취약점은 사용자의 검색 이력을 바탕으로 응답을 개인화하는 '제미니 검색 맞춤화 모델'에서 발견됐다. 공격자는 악성 자바스크립트를 심은 웹사이트를 통해 사용자의 크롬 검색 내역에 교묘하게 조작된 쿼리를 삽입할 수 있었으며, 이후 제미니가 해당 내용을 정당한 이력으로 인식해 비정상적인 링크를 출력하거나 개인정보 노출 위험을 초래할 수 있었다.
가장 위험성이 큰 것으로 평가된 세 번째 약점은 '제미니 브라우징 툴' 관련이다. 이는 구글이 설계한 데이터 유출 방지 장치를 우회하는 방식으로 작동한다. 테너블 연구팀은 브라우징 도구의 내부 언어를 흉내 낸 프롬프트를 이용해 공격자가 제어하는 외부 URL로 비정상 트래픽을 보내고, 내부 데이터를 이 경로를 통해 유출하는 방식이 가능하다고 분석했다. 문제는 이러한 활동이 사용자가 알아차리기 어려운 백그라운드 실행 형태로 이뤄졌다는 점이다.
이번 보고서에서 핵심적으로 부각된 메시지는 하나다. AI 시스템도 기존 엔터프라이즈 인프라처럼 철저한 보안 점검 대상이 돼야 한다는 것이다. 특히 간접 프롬프트 인젝션이라는 형태는 전통적 방식보다 탐지가 더 어렵고, 신뢰할 수 있는 데이터 흐름을 악용한다는 점에서 더욱 주의가 필요하다. 테너블 측은 조직 내 보안 담당자들에게 입력값 정제(input sanitization), 컨텍스트 검증, AI 도구 실행 모니터링 등의 계층적 방어 수단을 도입하고, 주기적인 AI 프롬프트 취약성 테스트를 시행할 것을 권고했다.
AI가 거의 모든 업무 시스템에 통합되고 있는 시점에서, 이번 제미니 트라이팩타 사례는 AI 보안이 단순한 옵션이 아닌 핵심 인프라 요소라는 사실을 다시금 각인시키고 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>