AI 에이전트의 링크 클릭 시 데이터 유출 방지 기술

AI 에이전트가 사용자를 대신해 웹 페이지를 열거나, 링크를 따라가거나, 이미지를 로드하는 등 능동적인 행동(agentic experiences)이 가능해지면서 매우 유용해졌습니다. 하지만 이러한 기능은 동시에 미묘하지만 심각한 보안 위험을 내포하고 있습니다.

본 글에서 다루는 핵심 공격 유형은 **URL 기반 데이터 유출 (URL-based data exfiltration)**입니다. 이는 공격자가 AI 모델을 속여(prompt injection) 민감 정보(예: 이메일 주소, 문서 제목 등)가 포함된 특정 URL을 요청하게 만들고, 그 데이터를 공격자의 로그 시스템으로 빼내는 방식입니다.

기존 안전장치의 한계와 새로운 접근법:

과거에는 '신뢰할 수 있는 도메인만 허용'하는 것이 일반적인 방어책이었습니다. 하지만 이는 여러 문제점을 안고 있습니다. 첫째, 많은 합법적 웹사이트가 리다이렉션(redirect)을 사용하기 때문에, 초기 도메인만 검사하면 공격자가 신뢰받는 사이트를 거쳐 최종적으로 악성 목적지로 트래픽을 우회시킬 수 있습니다. 둘째, 지나치게 엄격한 화이트리스트(allow-list) 정책은 사용자 경험을 저해하고 '오탐지(false alarms)'를 유발하여 사용자가 경고 메시지를 무시하게 만들 위험이 큽니다.

이에 따라 안전 기준을 **'이 도메인이 신뢰할 만한가?'**에서 **'이 특정 URL 자체가 공적으로 검증된 것이 맞는가?'**로 변경했습니다. 핵심 원칙은 다음과 같습니다: URL이 사용자의 대화 내용과 무관하게 웹상에 이미 공개적으로 알려진 경우, 사용자 개인 정보가 포함되어 있을 가능성이 현저히 낮다.

기술적 구현 및 작동 방식:

이를 위해 회사는 독립적인 웹 인덱싱 시스템(crawler)을 구축했습니다. 이 크롤러는 사용자의 대화 내용이나 계정 정보에 접근하지 않고, 오직 공개된 웹 페이지를 스캔하여 URL을 수집하고 기록합니다. 이후 에이전트가 자동으로 URL을 가져오려고 할 때마다, 이 독립적인 인덱스에 해당 URL이 이전에 관찰되었는지 검사합니다.

1. 매칭되는 경우: 해당 URL은 공적으로 알려진 것이므로 (예: 공개 기사나 이미지) 에이전트는 자동 로드를 수행할 수 있습니다.
2. 매칭되지 않는 경우: 해당 URL은 미검증(unverified)으로 간주되어 신뢰하지 않습니다. 이 경우, 사용자에게 경고 메시지를 표시하고 명시적인 행동을 요구하거나 다른 웹사이트를 시도하도록 안내합니다.

이러한 메커니즘은 민감 정보가 배경에서 조용히 유출되는 '조용한 누수(quiet leak)' 시나리오를 방지하는 데 초점을 맞춥니다. 검증되지 않은 링크에 대해서는