새롭게 드러난 'HashJack' 기법이 AI 브라우저 어시스턴트의 보안 취약점을 정면으로 드러냈다. 이 방식은 정상 URL의 해시(fragment) 구간에 악성 코드를 삽입해, 사용 중인 AI 브라우저 비서 기능을 은밀히 조작할 수 있다는 점에서 업계에 큰 충격을 던지고 있다.

이 위협 기법을 발견한 것은 사이버 보안 기업 카토 네트웍스(Cato Networks)의 위협 분석 조직인 ‘Cato CTRL’이다. 이들은 최근 보고서를 통해 해당 기법이 퍼플렉서티AI의 코멧, 마이크로소프트(MSFT)의 엣지용 코파일럿, 구글(GOOGL)의 크롬용 제미니에 모두 적용될 수 있다고 경고했다. 특히 문제의 핵심은 URL 해시 영역이 서버나 보안 도구에서 거의 감지되지 않는 영역이라는 점이다. 이 때문에 악성 명령어가 구조적으로 쉽게 은폐되고, AI 어시스턴트는 이를 페이지 맥락의 일부로 착각해 실행해버리는 것이다.

실제 테스트 결과, 퍼플렉서티의 코맷은 가장 취약한 것으로 분석됐다. 이 브라우저 어시스턴트는 자율 에이전트(agentic AI) 기능을 기반으로 하며, URL에 숨겨진 명령을 그대로 자동 수행해 민감한 사용자 계정 정보나 이메일 주소를 외부 공격 서버에 전송하기까지 했다. 코파일럿과 제미니도 일부 방어 기능을 통해 위험 수준을 낮추긴 했지만, 구조적 취약성 자체가 제거된 것은 아니었다.

보고서에서는 해시잭이 초래할 수 있는 여섯 가지 공격 시나리오도 상세히 제시됐다. 여기에 포함된 위협은 날조된 정보 제공, 악성 링크 유도, 콜백 피싱, 의료 정보 조작, 인증정보 탈취, 악성 코드 가이드 제공 등이다. 특히 브라우저에 통합된 AI가 사용자의 신뢰를 얻고 있는 상황에서 이런 조작이 이루어진다면 피해는 상상 이상으로 커질 수 있다.

이에 대비해 각 기업의 대응은 엇갈렸다. 카토 팀은 수개월 전 세 기업에 취약점을 통보했고, 퍼플렉서티는 이를 심각한 결함으로 판단해 11월 중 수정했다. 마이크로소프트도 10월 말 패치를 적용하며, 우회적 프롬프트 주입 공격에 대비한 심층 방어 전략(Defense-in-Depth)을 강조했다. 반면 구글은 해당 동작이 ‘의도된 설계’라며 ‘수정하지 않겠다’는 입장을 내놓아 비판의 목소리가 나온다. 이에 따라 제미니는 현재도 해당 위협에 열려 있는 상태다.

보안 전문가들은 이번 이슈가 단순한 기술적 결함을 넘어, AI 브라우징 구조 자체에 내재된 설계적 맹점을 드러냈다고 지적한다. 대부분의 AI 브라우저는 URL 전체를 AI에게 전달하는 구조를 취하고 있으며, 이 과정에서 해시 구간에 대한 검증이 이뤄지지 않는다. 전문가들은 “AI 어시스턴트가 개인 정보와 시스템 권한에 점점 더 많은 접근을 가지는 만큼, 이번과 같은 맥락 조작 리스크는 조속히 해소해야 할 중대한 과제”라고 말한다.

한편, 이번 보고서는 지난주 퍼플렉서티의 코멧 브라우저에서 또 다른 결함이 발견된 직후 나와 더 큰 파장을 낳고 있다. 당시 보안 업체 스퀘어X는 이 브라우저의 숨겨진 API를 통해 공격자가 전체 디바이스를 장악할 수 있다는 경고를 내놓은 바 있다. 잇따른 보안 취약점 공개로 AI 브라우저 시장은 보다 철저한 점검과 새로운 보안 프레임워크 도입 압박에 직면하게 됐다.