[AI와 보안] 클로드 AI, ‘간접 프롬프트 주입’ 취약점 발견…민감 정보 탈취 위험

앤트로픽(Anthropic)의 클로드(Claude) AI에서 ‘간접 프롬프트 주입(Indirect Prompt Injection)’ 취약점이 발견되어 민감한 사용자 데이터가 해커의 계정으로 탈취될 위험이 있다는 내용입니다. 이 취약점은 클로드 코드 인터프리터(Code Interpreter) 도구에 새로 추가된 네트워크 접근 기능에서 비롯됩니다.

핵심 방법론 (Core Methodology):

보안 연구 전문가 요한 레베르거(Johan Reberger)에 의해 발견된 이 공격은 클로드의 기본 설정인 ‘패키지 관리자만 허용’이 api.anthropic.com을 포함한 승인된 도메인에 네트워크 접근을 허용하면서 보안 '백도어(backdoor)'를 열어준 점을 악용합니다. 공격은 다음과 같은 단계를 통해 진행됩니다:

악성 콘텐츠 주입 (Malicious Content Injection): 공격자는 사용자가 분석을 요청한 파일 등 겉으로는 무해해 보이는 콘텐츠 내부에 악성 지침(malicious instructions)을 은밀히 숨겨 주입합니다.

간접 프롬프트 주입 및 메모리 악용 (Indirect Prompt Injection & Memory Exploitation): 이렇게 주입된 '간접 프롬프트(Indirect Prompt)'는 클로드의 '메모리(Memory)' 기능을 악용합니다. 이는 AI에게 최근 대화 데이터를 추출하여 샌드박스(sandbox) 내부에 파일 형태로 저장하도록 명령합니다.

파이썬 코드 강제 실행 (Forced Python Code Execution): 이어서 클로드에게 특정 파이썬(Python) 코드를 실행하도록 강제합니다.

API 키 설정 (API Key Setup): 실행된 파이썬 코드는 공격자 자신의 API 키(API key)를 환경 변수(environment variable)로 설정합니다.

데이터 탈취 (Data Exfiltration): 마지막으로, 해당 코드는 클로드의 파일 API(Files API)를 사용하여 샌드박스에 저장된 훔친 파일을 공격자의 계정으로 업로드합니다. 이 과정에서 피해자의 인증 절차(authentication procedures)를 우회하게 됩니다.

이 취약점은 강력한 AI 모델, 외부 접근, 그리고 프롬프트 기반 제어(prompt-based control)가 결합된 '치명적인 삼중 위협(critical triple threat)'으로 간주됩니다. 앤트로픽은 초기에는 이 문제를 '모델 안전 문제(model safety issue)'로 보고 범위를 벗어난다고 기각했으나, 며칠 후 유효한 취약점으로 인정했습니다.

권고 사항:

* API 호출을 로그인된 사용자 계정으로만 제한하도록 샌드박스 규칙을 강화해야 합니다.
* 사용자는 네트워크 접근을 최소화하거나 비활성화할 것이 권고됩니다.