OpenAI의 선언: 프롬프트 인젝션은 영구 위협, 기업 65%는 무방비 상태

AI 보안의 '완벽한 해결책'은 없다고 업계 리더가 선언했다. 인공지능 분야를 선도하는 OpenAI가 챗GPT 아틀라스(ChatGPT Atlas)의 보안 강화 방안을 설명하는 게시물에서, 프롬프트 인젝션(Prompt Injection) 공격은 '완전히 해결될 가능성이 낮다'고 공식 인정했다. 이는 웹에서의 스팸이나 소셜 엔지니어링과 마찬가지로 영구적인 위협이라는 의미다.

새로운 사실은 위험 그 자체가 아니라, OpenAI의 인정이다. 회사는 AI 에이전트 모드가 '보안 위협 표면을 확장'시키며, 아무리 정교한 방어 체계라도 결정적인 보장을 제공할 수는 없다고 밝혔다. 이는 AI를 이미 운영 중인 기업들에게는 단순한 검증을 넘어, AI 도입과 방어 사이의 격차가 더 이상 이론이 아님을 알리는 신호탄이다.

인간을 뛰어넘는 'AI 공격수'의 등장

OpenAI의 방어 아키텍처는 현존하는 기술의 최전선을 보여준다. 이들은 강화학습으로 훈련된 'LLM 기반 자동 공격 시스템'을 구축해 프롬프트 인젝션 취약점을 찾아낸다. 이 시스템은 인간 레드팀이 놓쳤던 공격 패턴까지 발견했는데, 수십, 수백 단계에 걸친 복잡하고 장기적인 유해 워크플로우를 실행하도록 에이전트를 유도할 수 있는 것으로 알려졌다.

실제 발견된 공격 사례는 그 위험성을 명확히 보여준다. 사용자의 이메일 수신함에 숨겨진 악성 지시사항이 포함된 메일이 있었다. AI 에이전트가 부재중 응답 메일을 작성하기 위해 메시지를 스캔하자, 주입된 프롬프트를 따라 사용자 대신 CEO에게 사직서를 작성해 보냈다. AI가 사용자를 대신해 사임한 셈이다.

기업의 현실: 65%는 방어 체계 부재

문제는 대부분의 기업이 이 영구적인 위협에 대비되어 있지 않다는 점이다. 벤처비트(VentureBeat)가 100명의 기술 의사결정권자를 대상으로 실시한 설문조사에 따르면, 프롬프트 인젝션 방어를 위한 전용 솔루션을 도입한 조직은 34.7%에 불과했다. 나머지 65.3%는 관련 도구를 구매하지 않았거나 도입 여부를 확인할 수 없다고 답했다.

OpenAI는 클라우드의 '공동 책임 모델'처럼 기업과 사용자에게 상당한 책임을 넘기고 있다. 이들은 에이전트에게 '내 이메일을 검토하고 필요한 조치를 취해줘'와 같은 지나치게 광범위한 지시를 피하라고 경고한다. AI 에이전트에게 더 많은 자율성을 부여할수록 공격 표면은 더 넓어지기 때문이다.

보안 리더를 위한 시사점

OpenAI의 발표는 세 가지 실질적인 교훈을 남긴다. 첫째, 에이전트의 자율성이 커질수록 공격 표면도 비례하여 커진다. 둘째, 완벽한 방어가 불가능하다면 예방보다 탐지가 더 중요해진다. 에이전트가 예상치 못하게 행동할 때 이를 인지할 수 있는 가시성 확보가 핵심이다. 셋째, 보안 솔루션을 직접 구축할 것인지, 외부 솔루션을 구매할 것인지에 대한 결정이 시급해졌다.