AI 요약
- •서울대·UIUC 연구진이 7월 6일 데이터 구조와 출처를 위조하는 신종 AI 에이전트 공격 ADI를 공개했다.
- •Claude Code·Codex·Gemini CLI 등 코딩 에이전트에서 원격 코드 실행과 공급망 공격이 실증됐으며 공격 성공률이 최대 50%에 달했다.
- •에이전트 권한 확대로 아이덴티티·데이터 출처 검증·런타임 모니터링 등 새로운 보안 계층이 핵심 인프라가 될 전망이다.
뉴스 기사
AI 에이전트 확산의 다음 병목은 성능이 아니라 '신뢰'라는 문제 제기가 나왔다. 서울대와 미국 UIUC 등이 참여한 연구진은 7월 6일 새로운 형태의 에이전트 공격 기법인 ADI(Agent Data Injection)를 공개했다. 그동안 AI 보안에서 가장 많이 논의된 위협은 악성 데이터에 명령을 숨겨 모델을 조종하는 프롬프트 인젝션이었다. ADI는 접근 방식이 다르다. 새로운 명령을 주입하는 대신, 에이전트가 참조하는 데이터의 구조와 출처 자체를 위조한다. 예컨대 공격자가 깃허브 댓글에 조작된 데이터 구조를 심으면, 에이전트는 이를 실제 관리자가 남긴 신뢰된 메타데이터로 오인할 수 있다. 연구진은 Claude Code, Codex, Gemini CLI 등 코딩 에이전트에서 원격 코드 실행과 공급망 공격 시나리오를 실증했고, 웹 에이전트에서는 특정 UI 요소를 클릭하도록 유도하는 공격도 제시했다. 이는 실제 침해 통계가 아니라 연구 환경에서의 취약점 실증 결과다. 수치가 특히 눈에 띈다. 기존 명령 주입 공격의 성공률은 방어가 적용된 환경에서 0~0.7% 수준까지 낮아졌지만, ADI는 최대 50%까지 성공했다. 기본 환경 49.1%, Llama Prompt Guard 2 적용 시 50%, LlamaFirewall 45.4%, IsolateGPT 40.7%였고, 샌드박싱을 적용해도 22.2%가 뚫렸다. 엄격한 데이터 흐름 추적 방식만이 공격을 완전히 차단했으나, 이 경우 정상 작업 수행 효용이 36.5%까지 급락하는 부작용이 나타났다. 에이전트가 이메일을 읽고 웹을 검색하며 코드를 수정하고 기업 데이터에 접근하는 시대가 다가올수록, 관건은 모델의 지능만이 아니다. 데이터의 생성 주체와 출처, 신뢰 가능 여부, 그리고 에이전트에 부여할 행동 권한의 범위가 핵심 변수로 떠오른다. 결국 에이전틱 AI 시대에는 아이덴티티, 데이터 출처 검증, 신뢰·비신뢰 데이터 격리, 데이터 흐름 추적, 런타임 모니터링, 권한 통제 등 새로운 보안 계층이 필요해질 가능성이 크다. 더 똑똑한 에이전트 경쟁에 몰두하는 업계에 이 연구는 '수천만 개의 에이전트에 실제 업무 권한을 주기 전에 무엇을 어떻게 신뢰할 것인가'라는 현실적 질문을 던진다.
AI 투자 인사이트
에이전트 상용화의 병목이 성능에서 보안으로 이동 중이다. 데이터 출처 검증·권한 통제 관련 사이버보안 수요 확대에 주목할 시점이다.