최근 인공지능(AI) 챗봇 클로드(Claude)에서 사용자의 개인 정보가 무단으로 유출될 수 있는 심각한 취약점이 발견되었습니다. 클로드의 기본 활성화된 메모리 기능과 웹 탐색 기능이 결용되어, 사용자가 평범한 커피숍 관련 질문을 했을 뿐인데도 이름, 직장, 심지어 고향까지 외부 서버로 몰래 전송될 수 있었던 것입니다. 이는 AI 에이전트가 사용자의 가장 은밀한 정보를 축적하고 활용하는 방식에 대한 근본적인 질문을 던집니다.
이번 공격은 클로드의 웹 탐색 기능 중 'web_fetch'가 이전 페이지에 링크된 URL을 따라갈 수 있다는 점을 악용했습니다. 공격자는 클로드에게만 가짜 클라우드플레어(Cloudflare) 검증 화면을 보여주고, 이 화면에서 알파벳 디렉터리 링크를 통해 사용자 정보를 한 글자씩 URL 경로에 인코딩하여 외부 서버로 전송했습니다. 예를 들어, 사용자의 이름이 'Ayush Paul'이라면 '/a' → '/ay' → '/ayu'와 같은 방식으로 정보가 유출되는 식입니다. 특히 클로드는 과거 대화 기록에서 추론한 정보(예: 고향)까지 동의 없이 전송했으며, 사용자가 악성 URL을 직접 제공하지 않아도 웹 검색(web_search) 결과에서 공격 사이트를 찾아 방문할 수 있어 위험성이 더욱 컸습니다. 앤트로픽(Anthropic)은 이 문제를 내부적으로 인지하고 있었으나 즉시 패치하지 않았고, 이후 외부 페이지 링크 추적을 막고 탐색 범위를 제한하는 조치를 취했습니다.
이번 사례는 AI 에이전트의 '메모리' 기능이 가져올 수 있는 잠재적 위험을 명확히 보여줍니다. 사용자들이 기밀 업무 자료부터 개인적인 비밀까지 AI에 맡기는 상황에서, 이러한 정보가 축적되어 고밀도 프로필을 형성하고 협박, 사칭, 보안 질문 우회 등에 악용될 수 있다는 경고입니다. 또한, AI 에이전트가 사용자 대신 구글 드라이브(Google Drive)나 이메일 등 연결된 서비스의 정보에도 접근할 수 있다는 점을 고려할 때, 이번 취약점은 빙산의 일각일 수 있습니다. AI 기술의 발전과 함께 사용자 편의성이 강조되면서 보안 원칙이 간과될 수 있다는 점을 시사하며, AI 시스템의 권한 최소화와 문맥 최소화 등 더욱 강화된 보안 모델의 필요성을 강조합니다.