AI 에이전트 브라우저 보안 위험성, 내 쿠키와 비밀번호가 유출될 확률은?

질문: Claude나 AI 에이전트에게 브라우저 제어 권한을 줬을 때 내 개인정보나 세션 쿠키가 외부로 유출될 가능성이 있나요?
답변: 예, 구조적으로 가능성이 매우 높습니다. AI 에이전트는 웹페이지 콘텐츠, 스크린샷, 세션 쿠키를 포함한 브라우저 상태를 클라우드 모델로 전송하며, 프롬프트 인젝션과 제3자 공급망 취약점을 통해 민감 정보가 외부로 유출될 수 있는 공격 표면이 존재합니다.

AI 에이전트 브라우저의 기술적 구조와 서비스 현황

최근 AI 시장은 단순한 챗봇을 넘어 사용자의 브라우저를 직접 제어해 작업을 수행하는 AI 에이전트 브라우저 시대로 진입하고 있다. 2025년에서 2026년 사이 ChatGPT Atlas, Microsoft Edge Copilot, Arc, Dia, Perplexity Comet, Fellow 같은 서비스들이 잇따라 출시 및 확장되며 브라우저 자동화가 핵심 트렌드로 자리 잡았다. 대부분의 서비스는 오픈 소스인 Chromium 기반의 포크(Fork) 형태로 구현된다. 기존 브라우저 엔진 위에 AI 에이전트 기능을 위한 추가 코드와 전용 기능을 탑재한 구조다.

다만 이런 구현 방식은 보안과 프라이버시 보장 수준을 벤더사마다 제각각으로 만든다. AI 에이전트는 사용자의 브라우저 화면에 나타나는 텍스트, 실시간 스크린샷, 세션 쿠키 정보를 OpenAI, Google, Anthropic 등의 외부 클라우드 모델로 전송해 처리한다. 이 과정에서 AI 제공사는 사용 내역을 모니터링하며 투명성 보고서를 통해 악의적 활동을 식별하기도 한다. 결국 사용자가 브라우저에서 보는 모든 데이터가 AI 제공사 서버로 전송된다는 점이 보안상의 근본적인 취약점이 된다.

구분 주요 서비스 기술적 특징 보안 및 프라이버시 이슈
AI 통합 브라우저 ChatGPT Atlas, Arc, Dia Chromium 기반 포크, AI 네이티브 기능 탑재 트래커 차단 미비(Atlas), 클라우드 데이터 전송
에이전트 확장형 Edge Copilot, Perplexity Comet, Fellow 기존 브라우저 내 에이전트 계층 추가 프롬프트 인젝션을 통한 정보 유출 시연 사례 존재

AI 에이전트 브라우저 보안 위험성과 구체적인 유출 경로

AI 에이전트 브라우저의 가장 치명적인 위협 중 하나는 프롬프트 인젝션(Prompt Injection)이다. AI 에이전트는 웹페이지에 존재하는 모든 텍스트와 요소를 입력값으로 취급하므로, 공격 표면이 기존의 폼(Form)이나 URL 매개변수보다 훨씬 넓다. 실제로 공격자가 웹페이지에 보이지 않는 노란색 글씨, 스포일러 태그, 또는 이미지 내 텍스트로 숨겨진 지시어를 삽입하면 AI 에이전트가 이를 읽고 실행하는 사례가 입증되었다.

실제 시연 사례를 보면 Perplexity Comet과 Fellow 등에서 심각한 취약점이 발견되었다. 공격자는 숨겨진 프롬프트를 통해 AI 에이전트가 사용자의 Gmail을 열어 최신 이메일 제목을 공격자의 도메인으로 전송하게 하거나, Perplexity 계정의 이메일과 인증코드를 Reddit에 게시하도록 조작했다. AI 에이전트가 브라우저 제어 권한을 가진 상태에서 신뢰할 수 없는 웹페이지의 지시사항을 무비판적으로 수행해 세션 쿠키나 개인정보를 탈취할 수 있음을 보여준다.

또한, Chromium 포크 기반의 소규모 벤더사는 대형 브라우저 사보다 보안 예산과 버그 바운티 프로그램이 부족하다. 원본 Chromium에서 패치된 보안 업데이트가 포팅되는 속도가 느릴 수 있으며, 추가된 커스텀 코드에서 원격 코드 실행(RCE) 같은 새로운 취약점이 발생할 가능성이 크다. Chrome이나 Brave, Firefox 같은 메이저 브라우저보다 보안 강도가 낮을 수밖에 없는 구조적 한계다.

데이터 거버넌스와 공급망 차원의 보안 취약점

AI 에이전트는 사용자를 돕기 위해 장치 전체의 권한을 요구하는 경향이 있다. 연락처, 금융 정보, 건강 기록, 이메일, 문서 등 광범위한 접근 권한을 가지게 되는데, 이는 보안 관점에서 ‘과도한 신뢰’를 전제로 하는 위험한 구조다. 특히 단대단 암호화(End-to-End Encryption)가 적용된 데이터라도 AI 에이전트가 처리하려면 클라우드 전송 전 단계에서 암호화가 해제되어야 한다. 이 과정에서 암호화의 이점이 사라지며 데이터 주권과 감사 추적 문제가 발생한다.

더 심각한 점은 AI 서비스 이면에 존재하는 공급망 리스크와 유령 노동(Ghost Work) 문제다. 많은 AI 기업이 데이터 레이블링, 콘텐츠 검수, 신원 확인 같은 민감한 태스크를 외부 계약직에게 위탁한다. 이 유령 노동 시장은 2024년 약 70억 달러 규모에서 2028년 82억 달러까지 성장할 것으로 추정된다. 외부 인력에 대한 승인 절차, 교육, 감사가 미흡하다면 클라우드로 전송된 민감 데이터가 내부 관계자에 의해 유출될 가능성이 상존한다.

사용자 동의 없는 AI 모델 설치 사례도 보고되었다. Google Chrome은 일부 기기에 도움말 작성, 사기 탐지, 네로(Nero) 기능 등을 수행하는 약 4GB 규모의 AI 모델을 무단 설치해 EU 등 글로벌 규제 당국으로부터 프라이버시 침해 논란을 겪었다. AI 벤더사가 사용자 모르게 시스템 권한을 확장하고 데이터를 수집할 수 있다는 불신을 초래한 사례다.

기업 및 파워 유저를 위한 현실적인 방어 및 대응 가이드

AI 에이전트의 생산성을 포기할 수 없다면 무조건적인 금지보다는 엄격한 정책 강제와 가드레일 설정이 현실적인 대안이다. 기업 보안 팀은 EDR(Endpoint Detection and Response)이 때로는 ‘허용된 스파이웨어’처럼 작동하듯, AI 브라우저의 활동 수집과 모델 전송 간의 충돌을 관리해야 한다.

보안 사고를 예방하기 위해 다음의 5가지 실천 수칙을 권한다.

  1. 권한 최소화 원칙 적용: AI 에이전트나 브라우저에 장치 전체 접근 권한을 부여하지 말고, 꼭 필요한 API 권한만 허용한다.
  2. 민감 사이트 격리 사용: 뱅킹, 의료 서비스, 법인 내부 이메일, 노션(Notion) 등 기업 기밀이 포함된 사이트는 AI 기능이 탑재된 브라우저 사용을 금지하거나 별도의 격리된 프로필을 사용한다.
  3. 가드레일 도구 도입: Harmonic 같은 브라우저 확장 프로그램이나 정책 관리 도구를 활용해 민감 데이터가 외부 클라우드로 전송될 때 이를 차단하거나 경고하는 설정을 적용한다.
  4. 공급망 투명성 검증: 도입하려는 AI 브라우저 벤더가 데이터 처리 경로를 투명하게 공개하는지, 제3자 협력사와 어떤 감사 체계를 갖추고 있는지 확인한다.
  5. 브라우저 설정 최적화: EFF(전자프런티어재단) 평가에서 지적된 트래커 차단 미비 문제를 해결하기 위해, 기본 제공 기능 외에 강력한 트래커 차단 도구를 병행 사용해 데이터 유출 경로를 최소화한다.

AI 에이전트 브라우저는 업무 효율성을 높여주지만, 세션 쿠키와 개인정보 유출이라는 심각한 보안 리스크를 수반한다. 특히 프롬프트 인젝션과 클라우드 전송 구조는 기술적으로 완전히 통제하기 어렵다. 사용자는 AI 브라우저를 ‘완전한 신뢰 대상’이 아닌 ‘관리 대상’으로 인식하고, DLP(데이터 유출 방지) 정책과 가드레일을 통해 위험 범위를 제한하며 사용해야 한다. 지금 바로 사용 중인 AI 브라우저의 권한 설정을 점검하고, 민감 업무 사이트의 격리 여부를 확인하시기 바란다.

댓글 남기기