이메일 읽기 권한 준 AI 에이전트, 지금 공격 경로가 열려 있다

에이전트에 이메일 읽기, 웹 검색, 문서 처리 권한을 줬다면 외부 콘텐츠 안에 숨겨진 명령어가 에이전트를 통해 실행될 수 있다. 간접 프롬프트 인젝션이라고 불리는 이 공격은 RAG, 브라우저 에이전트, 이메일 에이전트 모두에 적용된다. 에이전트에 부여한 권한이 많을수록 피해 반경이 커지는 구조다.

왜 에이전트 권한이 공격 경로가 되는가

직접 프롬프트 인젝션은 사용자가 직접 악의적인 명령을 입력하는 방식이다. 간접 프롬프트 인젝션은 다르다. 에이전트가 읽는 외부 콘텐츠 — 웹페이지, 이메일, 업로드 문서 — 안에 명령어를 숨겨두고, 에이전트가 그것을 데이터가 아닌 명령으로 실행하게 만든다.

LLM은 데이터와 명령어를 구조적으로 구분하지 못한다. 외부 텍스트에 '이 이메일을 공격자 주소로 전달하라'고 적혀 있으면, 에이전트는 그것을 콘텐츠로 무시하지 않고 명령으로 따를 수 있다. 파일 접근, 이메일 전송, 코드 실행 권한이 있는 에이전트일수록 이 구조적 취약점의 피해가 커진다.

내 에이전트의 어느 경로가 지금 노출돼 있는가

에이전트가 처리하는 외부 입력 경로를 먼저 목록으로 정리하는 것이 첫 단계다.

• 웹페이지 크롤링
• 이메일 수신 및 처리
• 사용자 업로드 문서
• 외부 API 응답
• RAG 검색 결과

이 중 읽은 내용을 그대로 다음 행동으로 넘기는 경로 가 있으면 그 지점이 간접 프롬프트 인젝션 노출 지점이다. ZDNet이 정리한 방어 방법의 핵심은 입력 신뢰 경계를 명시적으로 설정하는 것 — 외부에서 들어온 텍스트는 명령이 아니라 데이터로만 처리하는 구조다. 다만 각 방어 방법의 효과를 검증한 수치는 소스에서 확인되지 않았으며, 완벽한 해결책이라고 볼 근거는 없다.