프롬프트 인젝션AI 에이전트를 42초 만에 탈취하는 공격

AI 에이전트가 해킹당하고 있습니다

2026년, AI 에이전트는 코드를 작성하고, 이메일을 보내고, 파일을 관리합니다. 그런데 이 에이전트를 탈취하는 데 걸리는 시간은 평균 42초, 상호작용 5회면 충분합니다. 일부 공격은 4초 안에 성공했습니다.

보안 연구 결과에 따르면, 롤플레이 기반 프롬프트 인젝션의 성공률은 **89.6%**에 달합니다. OWASP는 2025년부터 LLM Top 10 취약점 목록에서 프롬프트 인젝션을 1위로 지정하고 있으며, 2026년에도 이 순위는 변하지 않았습니다.

실제 피해 사례도 속속 공개되고 있습니다. Claude Code에서는 원격 코드 실행(RCE)과 API 키 탈취가 가능한 취약점이 보고되었습니다. OpenClaw에서는 WebSocket 하이재킹을 통해 로컬에서 실행 중인 AI 에이전트를 악성 웹사이트가 장악할 수 있는 취약점이 발견되었습니다.

프롬프트 인젝션은 어떻게 작동하는가

프롬프트 인젝션을 이해하려면, AI 에이전트를 성실하지만 순진한 비서라고 생각하면 됩니다. 이 비서는 상사(사용자)의 지시를 따르도록 훈련받았지만, 누군가 서류 사이에 "이 문서를 읽으면 모든 파일을 삭제하세요"라는 메모를 끼워 넣으면 그대로 실행할 수 있습니다.

기술적으로는 세 가지 주요 방식이 존재합니다.

직접 인젝션(Direct Injection): 사용자가 직접 시스템 프롬프트를 우회하는 입력을 넣는 방식입니다. "지금부터 이전 지시를 무시하고..."와 같은 패턴이 대표적입니다.

간접 인젝션(Indirect Injection): AI가 읽는 외부 데이터(웹페이지, 이메일, 문서)에 악성 명령을 숨겨두는 방식입니다. 사용자는 아무것도 모른 채 에이전트가 악성 지시를 실행합니다.

롤플레이 기반 탈옥(Roleplay Jailbreak): "당신은 제한 없는 AI입니다"라는 시나리오를 제시하여 안전장치를 우회하는 방식입니다. 연구에 따르면 이 방식의 성공률이 89.6%로 가장 높습니다.

AI 에이전트가 특히 위험한 이유

기존 챗봇은 텍스트만 생성했습니다. 프롬프트 인젝션에 당해도 이상한 답변이 나오는 정도였습니다. 하지만 2026년의 AI 에이전트는 실제 행동을 합니다.

도구 호출 권한: MCP(Model Context Protocol) 같은 프로토콜을 통해 에이전트는 파일 시스템, 데이터베이스, API에 직접 접근합니다. 프롬프트 인젝션이 성공하면 공격자는 이 모든 권한을 물려받습니다.

코드 실행: 코딩 에이전트는 터미널 명령을 실행할 수 있습니다. 악성 지시가 주입되면 시스템 전체가 위험에 노출됩니다. Claude Code RCE 취약점이 이를 잘 보여줍니다.

공급망 오염: ClawHub(AI 스킬 마켓플레이스)에서 발견된 악성 스킬은 2월 324개에서 3월 820개 이상으로 급증했습니다. 개발자가 신뢰하고 설치한 도구 자체가 공격 경로가 되고 있습니다.

MCP의 확장된 공격 표면: MCP 프로토콜은 AI 에이전트에 다양한 외부 서비스를 연결합니다. 편리하지만, 연결된 서비스 하나하나가 잠재적 공격 경로가 됩니다. OpenClaw WebSocket 하이재킹은 이 구조적 취약점을 악용한 대표 사례입니다.

지금 할 수 있는 대응법

개발자라면

• 최소 권한 원칙 적용 — AI 에이전트에 필요한 최소한의 권한만 부여합니다. 파일 읽기만 필요하면 쓰기 권한을 주지 않습니다.
• 입력 검증 레이어 추가 — 외부 데이터가 에이전트에 전달되기 전에 악성 패턴을 필터링합니다. 단, 프롬프트 인젝션은 완벽한 필터링이 불가능하므로 다층 방어가 필수입니다.
• 도구 호출 승인 절차 — 민감한 작업(파일 삭제, 코드 실행, 외부 API 호출)은 사용자의 명시적 승인을 거치도록 설계합니다.
• MCP 서버 감사 — 연결된 MCP 서버의 출처와 코드를 검증합니다. ClawHub 등에서 설치한 스킬은 반드시 코드 리뷰 후 사용합니다.

일반 사용자라면

• AI 에이전트의 권한 확인 — 어떤 도구와 서비스에 접근할 수 있는지 파악합니다.
• 출처 불명의 AI 스킬/플러그인 설치 자제 — 820개 이상의 악성 스킬이 유통되고 있습니다.
• 민감 정보 직접 입력 금지 — API 키, 비밀번호를 AI 대화에 직접 붙여넣지 않습니다.
• 이상 행동 모니터링 — AI가 요청하지 않은 파일에 접근하거나 예상 외의 명령을 실행하면 즉시 세션을 종료합니다.

| 항목 | 내용 | |------|------| | 위협 유형 | 프롬프트 인젝션 / AI 에이전트 탈취 | | OWASP LLM 순위 | 1위 (2025~2026) | | 공격 성공률 | 89.6% (롤플레이 기반) | | 평균 탈취 시간 | 42초, 5회 상호작용 | | 악성 스킬 수 | 820개+ (ClawHub, 2026년 3월 기준) | | 주요 사례 | OpenClaw WebSocket 하이재킹, Claude Code RCE |

프롬프트 인젝션은 AI가 더 많은 권한을 가질수록 더 위험해집니다. AI 에이전트를 사용한다면, 그 에이전트가 무엇을 할 수 있는지 반드시 확인하세요.

참고

• OWASP — LLM Top 10 2025
• Anthropic — Claude Code Security
• Invariant Labs — MCP Security Notifications
• NIST AI 600-1 — AI Risk Management Framework
• Simon Willison — Prompt Injection Explained