2026년, 앤트로픽 클로드 크롬 확장 프로그램에서 ‘Claudebleed’ 취약점이 발견되었습니다. 레이어엑스 보안 연구원들은 악성 확장이 AI 어시스턴트 기능을 탈취할 수 있다고 경고하며, 부분적 수정으로는 여전히 위험하다고 지적합니다.
2026년, AI 확장 프로그램 보안의 새로운 위협 ‘클로드블리드’
2026년 현재, 인공지능 어시스턴트는 우리의 일상과 업무에 깊숙이 자리 잡았습니다. 특히 웹 브라우저 기반의 AI 확장 프로그램은 생산성 향상에 필수적인 도구가 되었죠. 하지만 최근 레이어엑스 보안 연구원들이 앤트로픽의 ‘클로드 인 크롬’ 확장 프로그램에서 심각한 보안 취약점 ‘클로드블리드(Claudebleed)’를 발견하여 업계에 경종을 울리고 있습니다. 이 취약점은 악성 확장 프로그램에 의해 클로드의 강력한 AI 기능이 탈취될 수 있으며, 사용자의 민감한 브라우징 세션까지 조작할 수 있다는 점에서 심각성이 큽니다. AI 기술이 고도화될수록 이에 대한 보안 위협 역시 진화하고 있음을 명확히 보여주는 사례입니다.
클로드블리드: AI 어시스턴트의 치명적 약점
레이어엑스의 연구 결과에 따르면, 클로드블리드의 핵심은 클로드 확장 프로그램의 ‘과도하게 신뢰된’ 브라우저 통신 흐름에 있습니다. 이 구조는 외부 스크립트가 클로드의 대규모 언어 모델(LLM)과 손쉽게 통신하도록 허용하며, 심지어 악성 스크립트 주입까지 가능하게 합니다. 가장 큰 문제는, 확장 프로그램 코드가 스크립트 실행 주체를 제대로 검증하지 않는다는 점입니다. 이는 크롬 웹 스토어에서 다운로드된 ‘최소한의’ 권한만 가진 일반 확장 프로그램이라도 클로드 확장에 악의적인 명령을 내릴 수 있다는 의미입니다. 이러한 허점은 AI 어시스턴트의 본질적인 신뢰성을 근본적으로 흔드는 요소가 됩니다.
탈취된 역량: 광범위한 피해 시나리오
클로드블리드의 잠재적 피해는 상상을 초월합니다. 레이어엑스 연구원 아비아드 기스판은 실제 시연을 통해 이 결함이 얼마나 위험한지 보여주었습니다. 악성 코드가 주입되면, 공격자는 AI 어시스턴트의 역량을 완전히 탈취할 수 있습니다. 예를 들어, 구글 드라이브 폴더의 파일을 외부인에게 전송하거나, 사용자를 가장하여 이메일을 발송하고, 심지어 깃허브의 비공개 저장소에서 코드를 탈취하는 것도 가능합니다. 더 나아가, AI가 요약한 이메일 내용을 외부 사용자로 보내는 등 민감한 정보 유출에 악용될 수 있습니다. 이는 AI 에이전트가 단지 프롬프트 수준에서만 안전하다고 생각하는 것이 얼마나 위험한 발상인지를 입증합니다.
공격 원리: 메시지 인터페이스의 허점
이 취약점의 기술적 근간은 클로드 확장 프로그램의 externally_connectable 설정에 있습니다. 이 매니페스트 설정은 어떤 외부 웹사이트나 확장이 클로드 LLM과 통신할 수 있는지 정의합니다. 문제는 claude.ai 출처를 신뢰하는 것이지, 실제 스크립트가 실행되는 ‘실행 컨텍스트’ 자체를 신뢰하지 않는다는 점입니다. 이로 인해 어떤 권한 없는 확장 프로그램이라도 특권 메시지 인터페이스를 통해 클로드 LLM에 접근하여 임의의 프롬프트를 실행하고, 클로드의 자체 보호 장치를 우회하며, 사용자 확인 절차를 건너뛸 수 있습니다. 이는 크롬의 확장 보안 모델을 사실상 무력화하는 결과를 초래합니다.
앤트로픽의 대응과 불완전한 수정
앤트로픽은 레이어엑스의 보고를 접수한 후, 2026년 5월 6일 패치가 포함된 업데이트 버전 1.0.70을 신속하게 출시했습니다. 하지만 레이어엑스의 후속 분석에 따르면, 이 수정은 완전하지 않았습니다. 앤트로픽은 확장이 원격 명령을 실행하는 것을 막기 위해 내부 보안 검사를 추가했지만, 이 검사가 ‘표준’ 모드에서만 작동한다는 한계가 있었습니다. 확장 프로그램이 ‘특권’ 모드로 전환되면, 이전과 동일하게 명령을 실행할 수 있어 여전히 악용될 가능성이 남아있습니다. 앤트로픽은 추가적인 수정(영향받는 메시지 핸들러 제거)을 약속했으나, 실제 배포된 수정은 특권 작업을 위한 추가 승인 흐름을 도입하는 수준에 그쳐, 핵심적인 externally_connectable 메시지 핸들러는 제거되지 않은 것으로 확인되었습니다.
미래를 위한 보안 권고와 사용자 주의
레이어엑스는 이러한 취약점을 근본적으로 해결하기 위한 여러 완화 조치를 권고했습니다. 여기에는 확장 간 페이지 인증 토큰 도입, externally_connectable 권한을 출처 대신 신뢰할 수 있는 확장 ID로 제한, 그리고 사용자 승인을 특정 작업과 일회용 토큰에 연결하는 방식 등이 포함됩니다. 2026년, AI 어시스턴트가 더욱 강력해지고 우리의 디지털 생활에 깊숙이 통합될수록, 이러한 보안 위협에 대한 경각심은 더욱 중요해집니다. 사용자는 출처를 알 수 없는 확장 프로그램 설치를 피하고, AI 어시스턴트의 권한 설정을 주기적으로 확인하는 등 적극적인 보안 의식을 가질 필요가 있습니다.
결론: 진화하는 AI 보안 위협에 맞서
클로드블리드 사태는 AI 에이전트 보안에 대한 우리의 인식을 전환해야 함을 명확히 보여줍니다. 매니폴드 시큐리티의 악스 샤르마 연구 책임자의 말처럼, AI 에이전트를 프롬프트 계층에서만 모니터링하는 것은 더 이상 충분하지 않습니다. 공격자들은 에이전트의 인식된 환경을 조작하여 내부적으로는 정당해 보이는 작업을 수행하게 만듭니다. 2026년 현재, 우리는 AI 기술의 눈부신 발전과 함께 그에 따르는 복잡하고 예측 불가능한 보안 도전에 직면해 있습니다. 개발사는 더욱 견고한 보안 아키텍처를 구축해야 하며, 사용자는 항상 최신 보안 정보에 귀 기울이고 개인 정보 보호에 만전을 기해야 할 것입니다. AI가 더욱 스마트해질수록, 우리의 보안 전략 역시 그만큼 더 스마트해져야 합니다.
