Perplexity AI 브라우저 Comet의 숨겨진 취약점: WannaCry 랜섬웨어 실행 데모까지

최근 SquareX의 보안 전문가들이 인공지능 검색 엔진 Perplexity AI에서 개발한 Comet 브라우저에서 심각한 보안 취약점을 발견했습니다. 이 취약점을 악용하면 공격자가 사용자 기기를 완전히 장악할 수 있다는 충격적인 내용입니다. 이번 발견은 AI 기술과 브라우저 보안의 결합이 가져올 수 있는 새로운 위협을 보여주며, 사용자들의 각별한 주의를 요합니다.

숨겨진 MCP API의 위험성

SquareX는 Comet 브라우저 내에 숨겨진 MCP (Model Context Protocol) API를 발견했습니다. 이 API는 브라우저가 실행되는 운영체제 수준에서 임의의 명령을 실행할 수 있도록 설계되었습니다. 이는 기존 브라우저들이 엄격하게 금지하는 기능으로, Comet 브라우저의 보안 아키텍처에 심각한 결함이 있음을 의미합니다. 특히, Agentic 확장 프로그램을 통해 이 API가 활성화될 수 있으며, Perplexity AI 웹사이트가 해킹될 경우 모든 Comet 브라우저 사용자의 기기가 위험에 노출될 수 있습니다.

WannaCry 랜섬웨어 실행 시연

SquareX 연구진은 취약점의 심각성을 입증하기 위해 WannaCry 랜섬웨어를 Comet 브라우저에서 실행하는 데모를 선보였습니다. 이는 공격자가 Perplexity AI 웹사이트를 통해 사용자 기기를 장악할 경우, 랜섬웨어 감염과 같은 심각한 피해를 초래할 수 있음을 시사합니다. 연구진은 확장 프로그램 위조, XSS 공격, 중간자 공격 등 다양한 공격 기법을 통해 MCP API를 악용할 수 있다고 경고했습니다.

제3자 위험과 보안 취약점

SquareX의 연구원인 Kabilan Sakthivel은 Comet 브라우저가 기존 브라우저 보안 원칙을 무시하고 있다고 비판했습니다. 그는 "단 하나의 XSS 취약점, Perplexity 직원 대상의 피싱 공격, 또는 내부자 위협만으로도 공격자가 모든 Comet 사용자 기기를 통제할 수 있게 됩니다."라고 지적했습니다. 이는 사용자들이 자신의 기기 보안을 Perplexity AI의 보안 수준에 전적으로 의존해야 하는 상황을 초래하며, 제3자 위험을 간과할 수 없음을 강조합니다.

Perplexity AI의 대응

현재 Perplexity AI는 SquareX의 보고서에 대한 공식적인 입장을 발표하지 않았습니다. TechRadar는 Perplexity AI에 연락하여 답변을 기다리고 있습니다. Perplexity AI가 이번 취약점을 인지하고 신속하게 대응하여 사용자들의 불안을 해소해야 할 것입니다.

결론

이번 SquareX의 발견은 AI 브라우저의 보안 취약점이 사용자들에게 얼마나 큰 위험을 초래할 수 있는지를 보여줍니다. Perplexity AI는 Comet 브라우저의 보안을 강화하고 사용자들의 개인 정보 보호를 위해 최선을 다해야 할 것입니다. 사용자들은 Comet 브라우저 사용에 신중을 기하고, 보안 업데이트를 꾸준히 확인하는 등 스스로 보안을 강화하는 노력이 필요합니다.