본문으로 건너뛰기
← 뉴스 목록으로
CRITICAL취약점

PleaseFix 취약점캘린더 초대 하나로 AI 브라우저를 해킹하다

5분 읽기
#PleaseFix#Perplexity Comet#에이전틱 브라우저#제로클릭#1Password#프롬프트 인젝션

무슨 일이 일어났나

2026년 3월 3일, 보안 연구 기업 Zenity Labs가 PleaseFix라는 이름의 취약점 가족을 공개했다. 이 취약점은 Perplexity Comet 같은 에이전틱 AI 브라우저(사용자 대신 웹을 탐색하고 작업을 수행하는 AI 내장 브라우저)에 영향을 미친다.

가장 놀라운 점은 공격 진입점이다. 피싱 링크도, 악성 첨부파일도 아닌 평범한 구글 캘린더 초대 한 장이면 충분하다. 사용자가 아무것도 클릭하지 않아도 AI 에이전트가 자동으로 초대를 처리하면서 공격이 시작된다. Zenity Labs는 이 취약점을 PerplexedBrowser라는 이름으로 구체적인 익스플로잇 2가지를 시연했다.

Perplexity는 Zenity의 사전 고지를 받아 공식 공개 전에 패치를 완료했다고 밝혔다.

공격은 어떻게 작동하는가

PleaseFix 취약점의 핵심은 **간접 프롬프트 인젝션(Indirect Prompt Injection)**이다. 에이전틱 브라우저의 AI가 외부 데이터(캘린더 초대, 이메일 등)를 읽을 때, 그 안에 숨겨진 악성 지시를 자신의 명령으로 받아들이는 것이다. 마치 통역사에게 메모를 건네면서 "이 내용을 번역하지 말고 네가 직접 실행해"라고 적어 놓는 것과 비슷하다.

Zenity Labs가 시연한 두 가지 익스플로잇 경로는 다음과 같다.

익스플로잇 1: 파일 시스템 탈취 (제로클릭)

  1. 공격자가 악성 지시가 숨겨진 캘린더 초대를 보낸다
  2. AI 에이전트가 초대를 자동으로 읽고 처리한다
  3. 숨겨진 프롬프트 인젝션이 에이전트를 하이재킹한다
  4. 에이전트가 로컬 파일 시스템에 접근하여 문서, 설정 파일 등을 읽는다
  5. 수집한 데이터를 공격자의 서버로 전송한다

사용자는 이 전체 과정을 인지하지 못한다. 클릭도, 확인 창도 없다.

익스플로잇 2: 비밀번호 관리자 탈취

  1. 동일한 캘린더 초대 경로로 에이전트를 장악한다
  2. AI 에이전트가 1Password 같은 비밀번호 관리자와 상호작용한다
  3. 저장된 자격증명(아이디, 비밀번호)을 추출한다
  4. 공격자에게 자격증명을 전달하여 **계정 탈취(Account Takeover)**가 가능해진다

왜 위험한가

PleaseFix가 특히 위험한 이유는 세 가지다.

첫째, 제로클릭이다. 사용자가 의심스러운 링크를 클릭하거나 파일을 열 필요가 없다. 캘린더 초대는 업무 환경에서 매일 수십 건씩 오가는 일상적인 항목이라 의심하기 어렵다.

둘째, 에이전틱 AI의 권한 범위가 넓다. 에이전틱 브라우저는 "사용자를 대신해" 파일을 읽고, 앱과 상호작용하고, 웹을 탐색한다. 이 광범위한 권한이 공격자에게 그대로 넘어간다.

셋째, 비밀번호 관리자까지 도달한다. 비밀번호 관리자는 보안의 마지막 보루로 여겨지는 도구다. 여기에 저장된 자격증명이 유출되면 이메일, 은행, 클라우드 등 연결된 모든 계정이 위험해진다.

에이전틱 AI 브라우저 시장은 빠르게 성장하고 있다. Perplexity Comet 외에도 유사한 아키텍처를 사용하는 브라우저가 속속 등장하고 있어, PleaseFix와 같은 유형의 취약점은 업계 전반의 구조적 문제로 확대될 수 있다.

지금 할 수 있는 대응법

  1. 에이전틱 브라우저 업데이트 확인: Perplexity Comet을 사용 중이라면 최신 버전으로 업데이트한다. Perplexity는 이미 패치를 배포했다.

  2. AI 에이전트의 자동 처리 범위 점검: 사용 중인 AI 도구가 캘린더, 이메일, 파일 시스템에 어디까지 자동 접근하는지 설정을 확인한다. 가능하다면 민감한 작업에는 수동 승인을 요구하도록 설정한다.

  3. 비밀번호 관리자 접근 제한: 비밀번호 관리자의 자동 채우기(autofill) 기능이 AI 에이전트에 의해 트리거되지 않도록 설정을 검토한다. 브라우저 확장 프로그램의 권한을 최소한으로 유지한다.

  4. 캘린더 초대 처리 정책 강화: 조직 차원에서 외부 발신 캘린더 초대에 대한 자동 수락 정책을 검토한다. 알 수 없는 발신자의 초대는 자동 처리에서 제외하는 것이 안전하다.

  5. 중요 계정에 하드웨어 보안 키 적용: 비밀번호가 유출되더라도 하드웨어 보안 키(FIDO2/WebAuthn)가 있으면 계정 탈취를 막을 수 있다. 은행, 이메일, 클라우드 계정에 우선 적용한다.

참고 링크

공유

보안 뉴스 알림 받기

새로운 보안 뉴스를 이메일로 전달합니다.