🛡 방패 보안·프라이버시 S-94

웹 브라우징 중 '간접 프롬프트 주입(Indirect

보안 연구원 요한 레베르거(Johann Rehberger)는 ChatGPT의 브라우징 기능을 이용해, 특정 웹사이트를 방문하는 것만으로 사용자의 대화 기록을 외부 서버로 전송하게 만드는 간접 프롬프트 주입 공격에 성공했다.

짝 사례 ↔ C-13 · 사이버 보안 AI — 침해 대응을 100일 단축한 디지털 방패

각주용 정리

활용 버전: AI 개발자용, 기업 보안 실무용, 일반 사용자용
피해 영역: 대화 기록 외부 유출, 에이전트 제어권 탈취
실패 유형: 간접 프롬프트 주입, 데이터와 명령의 미분리
행위 수준: ChatGPT 브라우징 기능
근거 출처: Johann Rehberger 연구, Wired
적용 모듈: 코어 3(내부 방어선), 긴급 브레이크(EMERGENCY STOP)

사건 팩트

보안 연구원 요한 레베르거(Johann Rehberger)는 ChatGPT의 브라우징 기능을 이용해, 특정 웹사이트를 방문하는 것만으로 사용자의 대화 기록을 외부 서버로 전송하게 만드는 간접 프롬프트 주입 공격에 성공했다. 웹페이지 내에 숨겨진 보이지 않는 지시어가 에이전트의 제어권을 가로채어 사용자의 개인정보를 탈취한 것이다. 에이전트가 외부 데이터를 읽는 행위는 공격자에게 뒷문을 열어주는 것과 같으며, 기계가 텍스트를 읽을 때 그것이 정보인지 시스템을 조종하려는 코드인지 구분하지 못하는 구조적 결함이 입증되었다.

예방적 시사점

에이전트에게 웹 브라우징이나 파일 읽기 권한을 줄 때, 외부 콘텐츠가 에이전트의 실행 지시어로 작동하지 않도록 샌드박스 격리를 확인해야 한다. 외부 콘텐츠를 읽은 후 즉시 이메일 발송이나 데이터 전송을 수행하는 자동화 체인을 끊고 인간의 승인 단계를 거쳐야 한다.

방어 모듈 적용 샘플

적용해 볼 수 있는 모듈 | 코어 3(내부 방어선) · 긴급 브레이크(EMERGENCY STOP)
"에이전트에게 웹 브라우징이나 파일 읽기 권한을 줄 때, 해당 데이터가 에이전트의 실행 지시어로 작동하지 않도록 샌드박스 격리를 확인하라. 외부 콘텐츠를 읽은 후 즉시 데이터 전송을 수행하는 자동화 체인을 끊고 반드시 인간의 승인 단계를 거쳐라."

↔ 칼 편 연결

칼 편 C-13·C-98 — 동일한 에이전트 외부 콘텐츠 처리·보안 영역이다. C-13·C-98은 샌드박스 격리·데이터·명령 분리로 안착했고, S-94는 그 격리 없이 숨겨진 지시어에 제어권을 빼앗겨 대화 기록이 외부로 새어 나갔다.

C-13 C-98

→ 본편: 2부 1장 (주의서 3·5) / 2부 2장 (코어 3) / 2부 3장 (모듈 E) / 2부 4장 (긴급 브레이크) Part 5. 생명·안전 위협

근거 출처 전체 보기 →

← 사례 DB로 돌아가기 🛡 방패 전체 보기