자율적인 웹 브라우징과 작업 실행 기능을 갖춘 AI 브라우저와 도우미의 인기가 높아지면서 이 분야를 겨냥한 새로운 보안 취약점이 등장하고 있습니다. 사이버 보안 회사인 LayerX의 개발자는 최근 "BioShocking"이라는 새로운 개념 증명 공격을 공개했습니다.해커는 고전 게임 '바이오쇼크' 스타일의 디스토피아 인터랙티브 퍼즐을 웹 페이지에 이식함으로써 AI 브라우저를 성공적으로 '플레이'하여 내장된 보안 울타리를 우회한 다음 사용자의 민감한 로그인 자격 증명을 순종적으로 넘겨줄 수 있습니다.

레이어X 연구팀은 '바이오쇼킹' 공격의 핵심은 대규모 언어 모델(LLM)의 내부 추론 논리 취약점을 악용하는 것이라고 설명했다. 이 단계에서 AI 브라우저는 웹페이지 콘텐츠를 읽고 보안 지시를 받을 때 이를 단일 텍스트 스트림으로 처리하는 경우가 많아 '웹페이지의 일반 게임 콘텐츠'와 '악성 시스템 제어 명령'을 정확하게 구별할 수 없게 된다.
이번 테스트에서 해커들은 '바이오쇼크' 수중 도시 '랩처' 스타일로 가득한 퍼즐 웹페이지를 구축했다. 게임이 시작되면 AI는 간단한 수학 문제(예를 들어 2+2=5가 정답임을 인정해야 함)에 답하도록 유도됩니다. AI가 게임의 규칙을 받아들이고 이 가상의 스토리라인에 통합되기 시작하면 그것이 "비현실 세계" 게임에 속해 있다고 판단하게 됩니다. 연구진은 AI가 게임을 하고 있다고 확신하는 한 현실 세계의 '안전 논리'는 남겨두고 이후의 모든 행동을 처리하기 위해 '게임 논리'를 적용하는 쪽으로 전환할 것이라고 지적했다.
퍼즐의 마지막 단계에서는 AI에게 사용자의 자격 증명을 가져와 복사하도록 논리적으로 지시합니다. 이 시점에서 AI는 게임 내러티브에 완전히 몰입해 이를 '통과 보상'으로 취급하기 때문에 실행을 거부하는 보안 경고를 발행하지 않습니다. 실제 테스트에서 공격받은 AI는 피해자가 직장에서 로그인한 GitHub 저장소에 서슴지 않고 접속해 SSH 로그인 자격증명을 추출해 패키징해 공격자의 서버로 보냈다. 더욱 아이러니한 점은 이러한 일련의 도둑질 행위를 마친 후 AI가 사용자에게 신나게 "좋은 소식을 전한다"며 이를 게임 작업의 승리로 보고한다는 점입니다.
LayerX는 이 취약점을 성공적으로 사용하여 OpenAI의 ChatGPT Atlas, Perplexity의 Comet 및 Anthropic의 Claude Chrome 브라우저 플러그인을 포함한 6개의 주류 AI 브라우저 및 보조 장치를 테스트한 것으로 보고되었습니다. 실제로 이 취약점을 악의적으로 악용할 경우, 해커는 사용자에게 링크를 클릭하도록 유도하기만 하면 은밀하게 AI를 이용해 사용자가 현재 세션에서 열어둔 모든 탭, 로그인한 계정, 회사 내부 도구 등을 탈취할 수 있다.
LayerX는 2025년 10월부터 2026년 1월 사이에 영향을 받은 모든 공급업체에 취약점을 통보했다고 밝혔습니다. 그러나 주요 제조업체의 수리 진행 상황은 고르지 않습니다. 현재 OpenAI만이 ChatGPT Atlas 브라우저에서 이 문제를 해결했습니다. 보안 전문가들은 "Agentic Disaster"가 일상적인 웹 검색에서 새로운 위협이 되고 있기 때문에 AI 브라우저는 자격 증명 읽기와 같은 민감한 작업을 수행할 때 필수 사용자 보조 확인 메커니즘을 설정해야 한다고 상기시킵니다. 동시에 사용자는 핵심 개인정보 데이터에 대한 AI 에이전트의 액세스 권한을 제한하도록 노력해야 합니다.