2025년 11월 28일

AI 브라우저 노리는 해시잭 공격

Tech

Share

by

AI 브라우저를 노리는 새로운 위협, 해시잭(HashJack) 공격 완벽 분석

최근 보안 업계에 새로운 경종을 울리는 연구 결과가 발표되었습니다. 케이토 네트웍스 연구팀이 AI 기반 브라우저와 브라우저 보조 기능을 겨냥한 **해시잭(HashJack)**이라는 새로운 형태의 간접 프롬프트 인젝션 공격을 시연한 것입니다. 이 공격은 피싱, 민감 데이터 유출, 자격 증명 탈취, 악성코드 다운로드 등 심각한 보안 위협을 초래할 수 있어 그 위험성이 매우 높습니다. 이번 글에서는 해시잭 공격의 원리와 작동 방식, 그리고 그 위험성에 대해 자세히 알아보겠습니다.

해시잭(HashJack) 공격이란 무엇인가?

해시잭 공격은 URL의 해시 기호(#) 뒤, 즉 'URL 프래그먼트' 또는 '명명된 앵커'로 불리는 구간에 악성 프롬프트를 삽입하는 방식으로 작동합니다. URL 프래그먼트는 웹 서버로 전송되지 않고 브라우저 내에서만 처리되는 정보입니다. 그런데 AI 브라우저 보조 기능은 현재 열려 있는 웹페이지의 컨텍스트를 분석할 때 이 URL 프래그먼트도 함께 읽어 들입니다. 해커는 바로 이 점을 악용하여 악성 프롬프트를 삽입하고, AI 브라우저 보조 기능을 조작하는 것입니다. 케이토 네트웍스는 해시잭을 "합법적인 웹사이트를 무기로 활용해 AI 브라우저 보조 기능을 조작할 수 있는 최초의 간접 프롬프트 인젝션 공격"이라고 정의하며, 퍼플렉시티 코멧, 마이크로소프트 엣지 코파일럿, 구글 크롬 제미나이 등 주요 AI 브라우저가 악성 공격에 취약할 수 있다고 경고했습니다.

해시잭 공격의 작동 원리

해시 기호(#)는 URL에서 페이지 내 특정 위치로 이동하거나, 자바스크립트 코드에 콘텐츠 표시 지시, UI 상태 정보 저장 등 다양한 용도로 사용됩니다. 중요한 점은 # 이후의 URL 프래그먼트 데이터가 웹 서버로 전송되지 않는다는 것입니다. 이 정보는 오직 브라우저 또는 로드된 클라이언트 측 코드에서만 인식됩니다. 그런데 AI 브라우저 보조 기능은 현재 열려 있는 웹페이지의 내용을 분석하도록 설계되어 있어, # 뒤에 포함된 URL 프래그먼트도 함께 읽습니다. 공격자는 이 구간에 악성 프롬프트를 삽입하여 AI의 행동을 조작하는 것입니다.

해시잭 공격의 위험성

해시잭 공격은 클라이언트 측에서만 이루어지기 때문에 기존의 네트워크 보안 체계로는 탐지가 어렵습니다. 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 네트워크 방화벽 등은 이 데이터를 감지하지 못합니다. 또한 서버 로그 역시 # 이후의 데이터는 기록하지 않으며, 콘텐츠 보안 정책(CSP)과 같은 브라우저 보안 기능도 페이지 자체가 수정되지 않았기 때문에 작동하지 않습니다. 결국 사용자는 악성 링크를 클릭하도록 유도하는 소셜 엔지니어링 공격에 노출될 수밖에 없습니다.

해시잭 공격 시나리오

해시잭 공격은 다양한 방식으로 악용될 수 있습니다. 예를 들어, 은행에서 보낸 것처럼 위장한 이메일에 악성 URL을 삽입하여 사용자가 클릭하도록 유도할 수 있습니다. 이 URL은 겉으로는 실제 은행 웹사이트로 연결되는 것처럼 보이지만, # 기호 뒤에 AI 어시스턴트를 속이는 악성 프롬프트가 숨겨져 있습니다. 사용자가 '고객센터 문의'를 시도하면 공격자가 통제하는 전화번호나 왓츠앱 링크로 연결되도록 유도할 수 있습니다. 또 다른 시나리오에서는 AI 브라우저가 사용자가 접속한 은행 사이트에서 계좌 정보, 거래 내역, 전화번호 등의 민감한 데이터를 가져와 공격자 서버로 전송하도록 조작할 수도 있습니다. 심지어 AI 보조 기능을 속여 사용자에게 거짓 정보를 표시하도록 유도하여 허위 투자 조언, 조작된 가짜 뉴스, 위험한 의학 정보, 악성코드 다운로드 링크 등을 제공할 수도 있습니다.

해시잭 공격에 대한 AI 브라우저의 반응

케이토 네트웍스 연구팀의 테스트 결과, AI 보조 기능들은 제품별로 서로 다른 반응을 보였습니다. 대부분의 제품에서 프롬프트 인젝션을 통해 텍스트 출력이 조작되었지만, 악성 링크를 삽입하는 공격은 일부 브라우저에서 상대적으로 어려웠습니다. 예를 들어 크롬용 제미나이 어시스턴트에서는 일부 링크가 자동으로 검색 URL로 재작성되었고, 마이크로소프트 엣지의 코파일럿은 메시지 내 링크를 클릭할 때 추가 확인 절차를 요구했습니다. 반면, 퍼플렉시티의 코멧은 에이전트형 브라우저로서 백그라운드에서 공격자 URL을 호출하고 컨텍스트 정보를 파라미터로 함께 전달할 수 있어 다른 브라우저보다 훨씬 취약한 것으로 나타났습니다.

해시잭 공격에 대한 대응

다행히 마이크로소프트와 퍼플렉시티는 해시잭 공격에 대응하는 보안 패치를 신속히 배포했습니다. 하지만 구글은 이 동작이 의도된 설계 범위 내의 행동이라고 판단하고 해시잭 기법을 취약점으로 간주하지 않았습니다. 이러한 대응의 차이는 AI 브라우저 개발사들의 보안 인식 수준과 정책에 따라 달라질 수 있음을 시사합니다.

결론

해시잭 공격은 AI 브라우저와 브라우저 보조 기능에 대한 새로운 위협으로, 사용자들은 더욱 주의를 기울여야 합니다. 의심스러운 링크는 클릭하지 않고, AI 브라우저의 보안 업데이트를 꾸준히 확인하며, 개인 정보 보호 설정을 강화하는 것이 중요합니다. AI 브라우저 개발사들은 해시잭 공격과 같은 새로운 위협에 대한 지속적인 연구와 대응책 마련에 힘써야 할 것입니다.

이것도 좋아하실 수 있습니다...