구글 제미나이(Gemini)에서 발견된 프롬프트 인젝션 취약점이 악성 캘린더 초대를 통해 사용자의 비공개 일정 정보를 유출할 수 있었던 것으로 드러났다.
미국 보안 전문 매체 해커 뉴스(The Hacker News)는 1월 19일(현지 시간) 사이버보안 연구자들이 구글 제미나이를 겨냥한 간접 프롬프트 인젝션을 이용해 권한 부여 안전장치를 우회하고 구글 캘린더(Google Calendar)를 데이터 유출 메커니즘으로 악용하는 보안 결함을 공개했다고 보도했다.
미고 시큐리티(Miggo Security) 리서치 총괄인 리아드 엘리야후(Liad Eliyahu) 연구원은 이 취약점으로 인해 표준 캘린더 초대 안에 휴면 상태의 악성 페이로드를 숨기는 방식으로 구글 캘린더의 프라이버시 통제를 우회할 수 있었다고 밝혔다.
엘리야후 연구원은 해커 뉴스에 공유된 보고서에서 “이 우회는 직접적인 사용자 상호작용 없이도 비인가자가 비공개 회의 데이터에 접근하고 기만적인 캘린더 이벤트를 생성할 수 있게 했다”고 설명했다.
공격 체인의 시작점은 위협 행위자가 제작해 대상에게 전송하는 새로운 캘린더 이벤트이다. 이 초대의 설명란에는 공격자의 목적을 수행하도록 설계된 자연어 프롬프트가 삽입되며 이를 통해 프롬프트 인젝션이 발생한다.
공격은 사용자가 “화요일에 회의가 있나?”와 같이 일정에 대한 아무런 문제가 없어 보이는 질문을 제미나이에 할 때 활성화된다. 그러면 인공지능(AI) 챗봇은 앞서 언급한 이벤트 설명에 포함된 특수 제작 프롬프트를 해석해 특정 일자의 모든 회의를 요약하고 이 데이터를 새로 생성한 구글 캘린더 이벤트에 추가한 뒤 사용자에게는 아무 문제가 없는 답변을 반환한다.
미고 시큐리티는 “백그라운드에서는 제미나이가 새로운 캘린더 이벤트를 만들고, 대상 사용자의 비공개 회의 전체 요약을 해당 이벤트 설명에 작성했다”고 밝혔다. 이어 “많은 엔터프라이즈 캘린더 구성에서 이 신규 이벤트는 공격자에게 보이기 때문에 대상 사용자가 어떤 행동도 취하지 않은 상태에서 유출된 비공개 데이터를 읽을 수 있었다”고 설명했다.
이 문제는 책임 있는 취약점 공개 절차 이후 현재는 해결된 상태다. 그러나 해커 뉴스는 이러한 발견이 더 많은 조직이 업무 자동화를 위해 AI 도구를 사용하거나 자체 에이전트를 구축하면서 AI 네이티브 기능이 공격 표면을 확장하고 새로운 보안 위험을 의도치 않게 도입할 수 있음을 다시 보여준다고 전했다.
엘리야후 연구원은 “AI 애플리케이션은 이해하도록 설계된 바로 그 언어를 통해 조작될 수 있다”며 “이제 취약점은 코드에만 국한되지 않고 언어와 맥락, 런타임에서의 AI 행위에도 존재한다”고 말했다.
이번 공개는 버로니스(Varonis)가 며칠 전 마이크로소프트 코파일럿(Microsoft Copilot)과 같은 인공지능(AI) 챗봇에서 기업 보안 통제를 우회해 단 한 번의 클릭으로 민감 데이터를 유출할 수 있었던 ‘리프롬프트(Reprompt)’라는 공격을 상세히 공개한 직후에 나온 것이다.
이들 연구 결과는 대형 언어 모델(LLM)에 대해 환각, 사실 정확성, 편향, 위해성, 탈옥(jailbreak) 저항성 등 핵심 안전·보안 요소를 지속적으로 평가하는 동시에, 전통적인 보안 이슈로부터 AI 시스템을 보호해야 할 필요성을 보여준다.
지난주에는 슈바르츠 그룹(Schwarz Group) 산하 엑스엠 사이버(XM Cyber)가 구글 클라우드 버텍스 AI(Google Cloud Vertex AI)의 에이전트 엔진(Agent Engine)과 레이(Ray) 내부에서 권한을 상승시키는 새로운 방법을 공개해, 기업이 AI 워크로드에 연결된 모든 서비스 계정과 ID를 점검해야 한다는 점을 강조했다.
연구원 엘리 쉬파라가(Eli Shparaga)와 에레즈 하손(Erez Hasson)은 “이 취약점들은 최소 권한만 가진 공격자도 고권한 서비스 에이전트(Service Agents)를 탈취할 수 있게 해 이 ‘보이지 않는’ 관리형 ID를 권한 상승을 돕는 ‘이중 대리인(double agents)’으로 바꿔버린다”고 밝혔다.
이중 대리인 취약점을 성공적으로 악용하면 공격자는 모든 챗 세션을 읽고, LLM 메모리를 조회하며, 스토리지 버킷에 저장된 잠재적으로 민감한 정보를 읽거나 레이 클러스터에 대한 루트 권한을 획득할 수 있다. 구글이 해당 서비스가 현재 “의도된 대로 작동하고 있다”고 밝힌 가운데, 조직은 뷰어(Viewer) 역할을 가진 ID를 검토하고 비인가 코드 인젝션을 방지하기 위한 적절한 통제를 마련하는 것이 필수적이다.
이러한 진전은 다양한 AI 시스템에서 다수의 취약점과 약점이 연달아 발견된 시기와 맞물려 있다. 더라이브러리언 닷 아이오(TheLibrarian.io)가 제공하는 AI 기반 개인 비서 도구 ‘더 라이브러리언(The Librarian)’에서는 CVE-2026-0612, CVE-2026-0613, CVE-2026-0615, CVE-2026-0616으로 식별된 보안 결함이 발견됐다. 이 취약점들은 공격자가 관리자 콘솔과 클라우드 환경을 포함한 내부 인프라에 접근해 클라우드 메타데이터, 백엔드에서 실행 중인 프로세스, 시스템 프롬프트 등 민감 정보를 유출하거나 내부 백엔드 시스템에 로그인할 수 있게 한다.
또 다른 취약점은 의도 기반 LLM 어시스턴트에서 시스템 프롬프트를 추출하는 방법을 보여준다. 이는 LLM에 폼 필드에 베이스64(Base64)로 인코딩된 형식으로 정보를 표시하도록 프롬프트를 보내는 기법이다. 프레토리언(Praetorian)은 “LLM이 어떤 필드, 로그, 데이터베이스 엔트리, 파일에든 쓰기 작업을 실행할 수 있다면, 채팅 인터페이스가 아무리 잠가져 있더라도 각각은 잠재적인 유출 채널이 된다”고 설명했다.
또 다른 공격 시나리오는 앤트로픽(Anthropic)의 클로드 코드(Claude Code)용 마켓플레이스에 업로드된 악성 플러그인을 통해 훅(hook)을 이용해 인간 개입(human-in-the-loop) 보호장치를 우회하고 간접 프롬프트 인젝션으로 사용자의 파일을 유출하는 방법을 보여준다.
커서(Cursor)에서는 CVE-2026-22708로 식별된 심각한 취약점이 발견됐다. 이 취약점은 에이전틱 IDE가 셸 내장 명령을 처리하는 방식에 존재하는 근본적인 간과를 악용한 간접 프롬프트 인젝션을 통해 원격 코드 실행을 가능하게 한다.
필러 시큐리티(Pillar Security)는 “export, typeset, declare와 같은 암묵적으로 신뢰되는 셸 내장 명령을 악용함으로써 위협 행위자는 합법적인 개발자 도구의 동작을 오염시키는 환경 변수를 조용히 조작할 수 있다”고 밝혔다. 이어 “이 공격 체인은 git branch나 python3 script.py와 같이 겉으로는 무해하고 사용자 승인을 받은 명령을 임의 코드 실행 벡터로 전환한다”고 설명했다.
이와 더불어 커서, 클로드 코드, 오픈AI 코덱스(OpenAI Codex), 레플릿(Replit), 데빈(Devin) 등 다섯 개 바이브 코딩(vibe coding) IDE에 대한 보안 분석 결과, 이들 코딩 에이전트는 SQL 인젝션이나 XSS 취약점은 잘 회피하지만, SSRF 문제 처리, 비즈니스 로직, API 접근 시 적절한 권한 부여 실행 측면에서는 취약한 것으로 나타났다.
상황을 더 악화시키는 점으로, 어떤 도구도 CSRF 보호, 보안 헤더, 로그인 시도 횟수 제한 기능을 포함하지 않은 것으로 확인됐다. 이 테스트는 바이브 코딩의 현재 한계를 부각시키며 이러한 보안 공백을 해소하는 데 여전히 인간의 감독이 핵심이라는 점을 보여준다.
텐자이(Tenzai)의 오리 데이비드(Ori David)는 “코딩 에이전트는 안전한 애플리케이션을 설계하는 데 신뢰할 수 없다”며 “이들 에이전트가 (일부 경우에는) 안전한 코드를 생산할 수는 있지만 명시적인 지침 없이는 핵심 보안 통제를 일관되게 구현하는 데 실패한다”고 말했다. 그는 경계가 명확하지 않은 비즈니스 로직 워크플로, 권한 부여 규칙, 기타 미묘한 보안 결정 영역에서는 에이전트가 실수를 범할 것이라고 덧붙였다.
헬로티 |
