[뉴스스페이스=이종화 기자] 챗GPT의 Deep Research 에이전트에 제로클릭 취약점 'ZombieAgent'가 발견되면서, 공격자들이 사용자 개입 없이 장기 메모리에 악성 지침을 주입해 지속적 데이터 탈취와 자율적 확산이 가능해졌다는 주장이 제기됐다.

이스라엘 사이버보안 업체 Radware가 2026년 1월 7일(현지시간) 발표한 보고서에 따르면, 해당 취약점은 오픈AI의 클라우드 인프라에서 실행되어 엔드포인트 탐지·응답(EDR), 방화벽, 보안 웹 게이트웨이(SWGs) 등 기존 보안 도구를 모두 우회한다.
​

radware, securitybrief, techintelpro, cyberriskleaders, davisdeejays, valuespectrum에 따르면, Radware 연구팀은 2025년 9월 26일 오픈AI에 취약점을 보고했으며, 오픈AI는 12월 16일 패치를 완료했다. 챗GPT는 전 세계 주간 활성 사용자 8억명 이상을 보유한 세계 최대 챗봇으로, Gmail·Outlook·Google Drive·Jira·GitHub 등 외부 커넥터와 메모리 기능을 통해 민감 데이터를 처리한다.
​

메모리 조작으로 영속적 제어 확보

ZombieAgent는 단순 프롬프트 인젝션이 아닌, AI 에이전트의 장기 메모리나 작업 노트에 악성 규칙을 직접 이식해 지속성을 부여한다. 에이전트가 호출될 때마다 숨겨진 작업을 자동 실행하며, 메일박스 데이터 수집·민감 파일 접근·외부 서버 통신을 반복한다.

Radware의 증명-of-concept(PoC)에서 에이전트는 대화 시작 전 공격자 이메일을 읽고 데이터를 한 글자씩 유출하는 URL 목록을 활용했다.
​

이 공격은 Radware의 선행 연구 'ShadowLeak'(2025년 9월 공개, 오픈AI 즉시 패치)에서 진화한 형태로, 오픈AI가 URL 동적 수정 금지 가드레일을 도입한 후에도 사전 구성된 문자별 URL(알파벳 26자+숫자 10자+공백 토큰)을 통해 우회했다. Radware 위협인텔 부사장 파스칼 제넌스(Pascal Geenens)는 "에이전트 메모리는 이제 공격 표면으로, 기업은 클라우드 내 에이전트 행동 가시성이 전무해 위험하다"고 지적했다.
 

웜 방식 자율 확산 메커니즘

가장 위험한 특징은 자율 전파 기능으로, 한 통의 악성 이메일로 조직 내 '웜-like 캠페인'을 촉발한다. 공격 지침에 따라 에이전트가 수신자 인박스에서 이메일 주소(최대 X개)를 추출·유출하면, 공격자 서버가 자동으로 동일 페이로드를 재전송한다. 이는 Gmail 외 Outlook·Teams·Slack 등 커넥터 연결 시스템 전체로 확장 가능하다.
​

Radware 보고서에 따르면, 악성 지침은 HTML 이메일의 흰 글씨·작은 폰트·푸터 등으로 은폐되어 사용자에게는 무해하게 보이지만 LLM은 완벽히 인식한다. 이로 인해 단일 침투가 조직·파트너 생태계로 기하급수적 확산될 수 있으며, 전통 보안 도구는 클라우드 측 실행으로 로그조차 남기지 않는다.
​

기업 보안 사각지대와 대응 과제

전 세계 기업의 70% 이상이 AI 에이전트를 도입 중이지만, 서비스 측 실행으로 인해 DLP(데이터 유출 방지)·네트워크 모니터링이 무용지물이다. Radware는 입력 데이터 세정(플레인 텍스트 변환), 에이전트 권한 최소화, 행동 기반 모니터링, 레드팀 테스트를 권고하며, 1월 20일 웨비나에서 상세 기술 공개를 예고했다.
​

오픈AI는 책임 보고 프로토콜에 따라 패치했으나 추가 논평을 거부했다. 전문가들은 "에이전틱 AI 경제 시대에 메모리 기반 영속 공격이 표준화될 것"이라며, 벤더 평가와 거버넌스 강화가 필수라고 경고한다.