이 기사의 핵심 내용은?

슈퍼휴먼(Superhuman)의 AI 비서가 악성 이메일을 통한 프롬프트 주입 공격으로 사용자의 민감한 데이터를 유출하는 취약점에 노출되었다. 공격자는 마크다운 이미지 렌더링 허점을 악용하여 법률 및 금융 문서 등 이메일 내부 정보를 외부 구글 폼으로 전송하도록 AI를 조종했다. 슈퍼휴먼 측은 보안 정책 수정을 통해 긴급 패치를 완료했으나 AI 에이전트의 사적 데이터 접근에 따른 보안 위험성이 다시금 도마 위에 올랐다.

Superhuman AI, 프롬프트 주입으로 이메일 유출 위기

•슈퍼휴먼(Superhuman)의 AI 비서가 악성 이메일을 통한 프롬프트 주입 공격으로 사용자의 민감한 데이터를 유출하는 취약점에 노출되었다.
•공격자는 마크다운 이미지 렌더링 허점을 악용하여 법률 및 금융 문서 등 이메일 내부 정보를 외부 구글 폼으로 전송하도록 AI를 조종했다.
•슈퍼휴먼 측은 보안 정책 수정을 통해 긴급 패치를 완료했으나 AI 에이전트의 사적 데이터 접근에 따른 보안 위험성이 다시금 도마 위에 올랐다.

•슈퍼휴먼(Superhuman)의 AI 비서가 악성 이메일을 통한 프롬프트 주입 공격으로 사용자의 민감한 데이터를 유출하는 취약점에 노출되었다.
•공격자는 마크다운 이미지 렌더링 허점을 악용하여 법률 및 금융 문서 등 이메일 내부 정보를 외부 구글 폼으로 전송하도록 AI를 조종했다.
•슈퍼휴먼 측은 보안 정책 수정을 통해 긴급 패치를 완료했으나 AI 에이전트의 사적 데이터 접근에 따른 보안 위험성이 다시금 도마 위에 올랐다.

오픈 소스 개발자이자 보안 전문가인 사이먼 윌리슨(Simon Willison)은 최근 유명 이메일 클라이언트인 슈퍼휴먼(Superhuman)의 AI 비서 기능에서 심각한 보안 취약점이 발견되었다고 보고했다. 이번에 확인된 결함은 전형적인 '프롬프트 주입(Prompt Injection)' 공격으로, 신뢰할 수 없는 악성 이메일이 사용자의 받은 편지함 내 사적인 콘텐츠를 외부로 유출하도록 AI를 조작하는 방식이다. 실제로 사용자가 AI에게 최근 수신한 이메일의 요약을 요청할 때, 메일에 숨겨진 악성 명령이 실행되면서 법률 및 금융 관련 서류와 같은 민감한 데이터가 수집되어 공격자가 지정한 외부 구글 폼(Google Forms)으로 무단 전송되는 사례가 확인되었다.

해당 공격의 기술적 원인은 콘텐츠 보안 정책(CSP) 규칙의 허점을 이용한 마크다운(Markdown) 이미지 렌더링 방식에 있었다. 슈퍼휴먼 시스템은 구글 도메인인 docs.google.com에서 불러오는 이미지의 렌더링을 허용하고 있었는데, 공격자는 이를 교묘하게 활용했다. 구글 폼이 GET 요청을 통해 데이터를 수신할 수 있다는 특성을 악용하여, 탈취한 이메일 정보를 이미지 URL 뒤에 쿼리 스트링 형태로 덧붙여 전송함으로써 표준적인 보안 필터링을 완벽하게 우회했다. 이에 따라 AI가 사용자 대신 데이터를 처리하는 과정에서 보안망이 뚫리는 심각한 위험이 현실화된 것이다.

슈퍼휴먼 측은 취약점 보고를 받은 직후 이를 최우선 과제로 삼아 긴급 보안 패치를 발행했으며, 현재는 데이터 유출이 불가능하도록 시스템을 수정했다고 발표했다. 하지만 이번 사건은 여러 문서가 얽혀 있는 개인적인 환경에 AI 에이전트가 접근할 때 발생할 수 있는 지속적인 보안 위협을 극명하게 보여주었다. 특히 AI가 자율적으로 작업을 수행하는 능력이 향상됨에 따라, 공격자가 입력한 악의적인 지침이 AI의 원래 프로그래밍과 제약 사항을 무시하도록 만드는 시도가 더욱 정교해지고 있다.

결과적으로 이번 사례는 AI 기술의 편리함 이면에 도사린 보안상의 취약점을 해결하는 것이 얼마나 시급한 과제인지를 일깨워준다. 다만 보안 전문가들은 프롬프트 주입 공격이 AI 모델의 구조적 특성에서 기인하는 만큼, 단순한 소프트웨어 패치를 넘어선 근본적인 방어 기제의 구축이 필요하다고 조언한다. 또한 기업들은 AI 에이전트에게 민감한 정보에 대한 접근 권한을 부여할 때 발생할 수 있는 잠재적 위험 요소를 사전에 철저히 검토해야 하며, 사용자 역시 검증되지 않은 외부 입력이 AI 시스템에 미칠 수 있는 영향에 대해 경각심을 가져야 한다.

오픈 소스 개발자이자 보안 전문가인 사이먼 윌리슨(Simon Willison)은 최근 유명 이메일 클라이언트인 슈퍼휴먼(Superhuman)의 AI 비서 기능에서 심각한 보안 취약점이 발견되었다고 보고했다. 이번에 확인된 결함은 전형적인 '프롬프트 주입(Prompt Injection)' 공격으로, 신뢰할 수 없는 악성 이메일이 사용자의 받은 편지함 내 사적인 콘텐츠를 외부로 유출하도록 AI를 조작하는 방식이다. 실제로 사용자가 AI에게 최근 수신한 이메일의 요약을 요청할 때, 메일에 숨겨진 악성 명령이 실행되면서 법률 및 금융 관련 서류와 같은 민감한 데이터가 수집되어 공격자가 지정한 외부 구글 폼(Google Forms)으로 무단 전송되는 사례가 확인되었다.

해당 공격의 기술적 원인은 콘텐츠 보안 정책(CSP) 규칙의 허점을 이용한 마크다운(Markdown) 이미지 렌더링 방식에 있었다. 슈퍼휴먼 시스템은 구글 도메인인 docs.google.com에서 불러오는 이미지의 렌더링을 허용하고 있었는데, 공격자는 이를 교묘하게 활용했다. 구글 폼이 GET 요청을 통해 데이터를 수신할 수 있다는 특성을 악용하여, 탈취한 이메일 정보를 이미지 URL 뒤에 쿼리 스트링 형태로 덧붙여 전송함으로써 표준적인 보안 필터링을 완벽하게 우회했다. 이에 따라 AI가 사용자 대신 데이터를 처리하는 과정에서 보안망이 뚫리는 심각한 위험이 현실화된 것이다.

슈퍼휴먼 측은 취약점 보고를 받은 직후 이를 최우선 과제로 삼아 긴급 보안 패치를 발행했으며, 현재는 데이터 유출이 불가능하도록 시스템을 수정했다고 발표했다. 하지만 이번 사건은 여러 문서가 얽혀 있는 개인적인 환경에 AI 에이전트가 접근할 때 발생할 수 있는 지속적인 보안 위협을 극명하게 보여주었다. 특히 AI가 자율적으로 작업을 수행하는 능력이 향상됨에 따라, 공격자가 입력한 악의적인 지침이 AI의 원래 프로그래밍과 제약 사항을 무시하도록 만드는 시도가 더욱 정교해지고 있다.

결과적으로 이번 사례는 AI 기술의 편리함 이면에 도사린 보안상의 취약점을 해결하는 것이 얼마나 시급한 과제인지를 일깨워준다. 다만 보안 전문가들은 프롬프트 주입 공격이 AI 모델의 구조적 특성에서 기인하는 만큼, 단순한 소프트웨어 패치를 넘어선 근본적인 방어 기제의 구축이 필요하다고 조언한다. 또한 기업들은 AI 에이전트에게 민감한 정보에 대한 접근 권한을 부여할 때 발생할 수 있는 잠재적 위험 요소를 사전에 철저히 검토해야 하며, 사용자 역시 검증되지 않은 외부 입력이 AI 시스템에 미칠 수 있는 영향에 대해 경각심을 가져야 한다.