ChatGPT가 악성 사이트로 유도했다? 일반인이 알아야 할 AI 보안 위험

ChatGPT에게 “요즘 괜찮은 쇼핑몰 추천해줘"라고 물었다가 사기 사이트로 연결된 사례가 2026년 들어 급격히 늘고 있어요. 더 무서운 건, AI가 악용됐다는 걸 사용자가 전혀 눈치채지 못한다는 점이에요.
핵심 요약
- 보안업체 Tenable 연구진은 ChatGPT GPT-4o와 GPT-5를 겨냥한 7가지 공격 기법을 공개했어요. 이 중 일부는 URL을 클릭 한 번만 해도 개인 대화 기록이 유출될 수 있어요.
- 2026년 6월 기준, 국내에서 ChatGPT 결제 시스템 악용으로 카드 무단 도용 피해가 발생했고, 이투데이에 따르면 한 사건만으로 4억 원 규모의 피해가 확인됐어요.
- 간접 프롬프트 인젝션 공격은 블로그 댓글이나 검색 결과에 숨겨진 명령어가 ChatGPT를 통해 자동 실행되는 방식이에요. 사용자가 아무 잘못을 하지 않아도 피해를 입을 수 있어요.
- Anthropic, 영국 AI Safety Institute, Alan Turing Institute의 공동 연구에 따르면 단 250개의 악성 문서만으로 AI 모델 전체에 백도어를 심을 수 있다는 게 확인됐어요.
ChatGPT가 갑자기 ‘보안 위협’이 된 이유
2년 전만 해도 AI 보안 위험은 연구자들의 관심사였어요. 지금은 달라요. ChatGPT가 쇼핑 추천, 코드 작성, 여행 일정까지 실생활 깊숙이 들어오면서, 공격자들도 이 지점을 노리기 시작했거든요.
아마르 우쟐라 보도에 따르면 2026년 6월 현재 가짜 쇼핑 사이트들이 ChatGPT 검색 결과에 침투해 사용자를 유도하는 사례가 전문가들에 의해 경고됐어요. 사용자 입장에선 그냥 AI가 추천해준 사이트처럼 보이는 거죠.
국내 상황도 심각해요. ZDNet Korea는 ChatGPT 결제 구조를 악용한 카드 무단 도용 사건을 보도했고, 이투데이는 단일 사건으로 4억 원 규모의 피해가 발생한 사례를 단독으로 확인했어요. 특히 이 사건에선 유출된 DB와 AI 구독 시스템이 결합된 복합 범죄 수법이 쓰였다는 경고도 나왔어요.
핵심은 이거예요. ChatGPT는 웹 검색, 메모리, 플러그인을 통해 외부 세계와 연결돼 있는데, 그 연결 지점 하나하나가 공격 표면이 된다는 것.
7가지 공격 기법: AI가 무기가 되는 방식
Tenable 연구진이 공개한 7가지 공격 기법은 일반 사용자 입장에서 꽤 충격적이에요. 기술 지식 없이도 피해를 입을 수 있는 방식들이 포함돼 있거든요.
클릭 한 번이면 끝나는 공격들
0-클릭 프롬프트 인젝션은 가장 무서운 유형이에요. 악성 명령어가 미리 검색 엔진에 색인된 상태에서, 사용자가 그냥 자연어 질문을 하면 자동으로 실행돼요. 사용자가 아무것도 잘못하지 않아도 당하는 구조예요.
1-클릭 프롬프트 인젝션은 chatgpt.com/?q={악성 프롬프트} 형태의 URL 하나를 클릭하면 명령이 실행돼요. 카카오톡이나 이메일로 “이거 봐봐"라며 링크가 오는 상황을 떠올리면 돼요.
안전 메커니즘 우회는 더 영리해요. bing.com처럼 ChatGPT가 신뢰하는 사이트로 위장한 광고 추적 링크를 심어서 필터를 통과시키는 방식이에요.
기억을 오염시키는 공격
메모리 인젝션은 장기적으로 더 위험해요. ChatGPT의 장기 메모리 기능에 숨겨진 명령어를 심으면, 이후 모든 대화에서 그 명령이 계속 실행돼요. 한 번 당하면 계속 당하는 구조예요.
대화 인젝션은 악성 웹페이지 요약이 이후 대화 맥락 전체를 오염시키는 방식이에요. “이 기사 요약해줘"라고 했다가 그 다음 대화부터 이상해지는 거죠.
AI 플랫폼별 보안 취약점 현황 (2026년 6월 기준)
| 플랫폼 | 주요 취약점 | 패치 상태 | 사용자 위험도 |
|---|---|---|---|
| ChatGPT | 메모리 인젝션, 0클릭 공격, 마크다운 렌더링 버그 | 일부 패치 완료, 프롬프트 인젝션은 구조적 미해결 | 높음 |
| Claude | Promptjacking, File API 통한 데이터 탈취 | 지속 대응 중 | 중간-높음 |
| Microsoft 365 Copilot | “Mermaid” 다이어그램 익스플로잇 | 패치 완료 | 중간 |
| GitHub Copilot | “Kamorik” 취약점으로 소스코드·시크릿 키 유출 | 대응 중 | 높음 (개발자) |
출처: Tenable 연구 보고서, SentinelOne 분석
그런데 이건 ChatGPT만의 문제가 아니에요. AI가 외부 데이터를 처리하는 구조 자체의 한계예요. SentinelOne의 분석은 이 문제를 “입력값 검증"이 아닌 **“맥락 검증”**의 문제로 정의해요. AI가 신뢰할 수 없는 외부 콘텐츠를 신뢰할 수 있는 명령처럼 처리하는 게 핵심 구조적 결함이라는 거죠.
지금 당장 해야 할 것들
그룹별로 위험 수준과 대응이 달라요
일반 사용자라면 당장 ChatGPT 설정에서 메모리 기능을 확인하세요. 설정 > 개인화 > 메모리 관리에서 저장된 내용을 주기적으로 검토하는 게 필요해요. 낯선 사람이 보낸 ChatGPT 링크(chatgpt.com/?q=...)는 클릭하지 마세요. 아무리 무해해 보여도요.
쇼핑이나 금융 관련 정보를 ChatGPT에게 물을 때는 한 단계 더 검증하는 습관이 필요해요. AI가 추천한 사이트라도 URL을 직접 확인하고, 가능하면 공식 앱이나 북마크를 쓰는 게 더 안전해요.
기업 보안 담당자라면 SentinelOne이 권고하는 것처럼 역할 기반 접근 통제(RBAC)와 다단계 인증을 AI 도구에도 적용해야 해요. ChatGPT를 업무 시스템에 연결할 때 플러그인 하나하나의 권한을 최소화하는 원칙도 필요하고요.
개발자라면 GitHub Copilot의 “Kamorik” 취약점 사례처럼 AI 코딩 도구가 시크릿 키를 유출할 수 있다는 걸 인지해야 해요. .env 파일이나 API 키를 AI와 공유되는 컨텍스트에 포함시키지 않는 게 기본이에요.
앞으로 주시해야 할 신호들
- OpenAI의 메모리 기능 업데이트: 메모리 인젝션 취약점에 대한 패치 범위가 얼마나 넓어지는지
- AI 플랫폼의 외부 콘텐츠 처리 정책: 맥락 검증 강화 여부
- 국내 금융당국의 AI 결제 보안 가이드라인: 이투데이가 보도한 4억 원 피해 사건 이후 규제 방향
AI 신뢰는 이제 검증이 필요한 시대
정리하면 이래요.
- ChatGPT는 7가지 이상의 공격 기법에 노출돼 있고, 일부는 구조적으로 완전한 해결이 불가능해요
- 국내에서 이미 수억 원 규모의 실제 피해가 발생했어요
- AI 단독의 문제가 아니라 Claude, Copilot 등 전 플랫폼에 걸친 공통 과제예요
- 사용자 입장에서 가장 강력한 방어는 “AI가 추천해도 한 번 더 확인하는 습관"이에요
앞으로 6~12개월 안에 AI 보안 규제가 본격화될 가능성이 높아요. EU AI Act가 고위험 시스템에 대한 보안 요건을 강화하고 있고, 국내도 금융 분야부터 움직이기 시작했어요.
Anthropic·영국 AI Safety Institute·Alan Turing Institute가 공동으로 확인한 것처럼, 단 250개의 악성 문서만으로 AI 모델 전체에 백도어를 심을 수 있어요. 이건 개인 사용자가 막을 수 있는 문제가 아니에요.
그래서 질문은 결국 하나예요. AI를 믿되, 어디까지 믿을 것인가. 그 선을 지금 명확히 그어두는 게 필요한 시점이에요.
이 글에서 다룬 7가지 공격 기법 중 본인이 쓰는 AI 도구에 적용되는 게 있는지 점검해봤나요? 궁금한 공격 유형이 있다면 댓글로 알려주세요.
참고자료
- Chatgpt बना हैकर्स का नया हथियार:फर्जी शॉपिंग साइट्स पर लालच दिखा हो रही ठगी; जानें इस स्कैम से कैसे
- 챗GPT 결제 구조 악용한 카드 무단 도용…오픈AI “환불 완료” - ZDNet korea
- [단독] 챗GPT 무단결제, ‘4억’ 털렸다⋯쿠팡 처분날 뜬 “유출 DB 결합 범죄” 경고 [AI 구독 시스템의 덫] - 이투데이
Photo by Igor Omilaev on Unsplash


