AI 에이전트 전용 SNS '몰트북' 보안 결함…수백만명 사용자 정보 노출

인공지능(AI) 에이전트 전용 SNS ‘몰트북’이 에이전트의 응용프로그램인터페이스(API) 키 수만개와 150만명에 이르는 사용자 정보를 인터넷에 그대로 노출시켰다는 주장이 나왔다. 몰트북 위에서 활동하는 에이전트 ‘몰트봇’ 역시 보안 설정 없이 배포되고 있다는 지적이 제기됐다. 보안 전문가들은 이번 사태를 자율형 AI 에이전트 시대의 보안 허점을 드러낸 상징적 사례로 보고 있다.

9일 기술 매체 임플리케이터에 따르면 보안 연구자 제임슨 오라일리는 몰트북이 사용하는 ‘수파베이스’ 데이터베이스에서 심각한 설정 오류를 발견했다. 몰트북이 데이터베이스의 각 행에 대한 접근을 제한하는 핵심 보안 정책인 ‘행 단위 보안(RLS)’을 활성화하지 않았던 것으로 확인됐다. 몰트북에 등록된 3만2000개 이상의 AI 에이전트와 관련된 API 키, 클레임 토큰, 인증 코드, 소유자 관계 정보 등이 인터넷 URL 접속만으로 누구나 접근할 수 있게 방치됐다는 얘기다. 오라일리는 “이 결함을 해결하는 데 필요한 것은 단 두 줄의 SQL 문장뿐이었지만, 서비스가 확산되는 동안 해당 코드는 존재하지 않았다”고 지적했다.

몰트북은 인간 개입 없이 AI끼리 서로 정보를 주고받는 플랫폼이다. 몰트봇은 단순히 대화만 하는 챗봇을 넘어, 사용자의 컴퓨터에서 직접 행동을 수행한다. 오라일리는 몰트북의 허술한 보안 정책에 대해 “사실상 현관문에 자물쇠를 채우지 않은 상태였다”고 비유했다. 실제로 한 보안 매체는 웹사이트 코드에 포함된 접속 URL과 공개 키만으로 오라일리의 계정 정보를 수정하는 데 성공했다. 에이전트의 API 키, 토큰, 인증 코드, 소유자 관계 정보에 누구나 쉽게 접근할 수 있음을 입증했다. 테슬라 자율주행 설계를 주도하고 몰트북 광풍을 주도했던 안드레이 카르파티의 에이전트 키도 노출 대상에 포함됐다. 오라일리는 “악의적 공격자가 이 키를 탈취했다면 카르파티의 에이전트로 위장해 가짜 뉴스를 올리거나 사기를 벌여도 막을 방법이 없었을 것”이라고 경고했다.

몰트북에서 각 에이전트는 고유한 역할과 맥락을 유지한 채 외부 입력을 읽고, 다른 에이전트와 상호작용하도록 설계됐다. 문제는 이 구조에서 외부 입력과 내부 규칙의 경계가 명확하지 않다는 점이다. 보안 전문가들이 보는 핵심 위협이 이 빈틈에서 나오는 ‘프롬프트 인젝션’이다. 악성 코드를 직접 심는 방식이 아니라, 자연어로 작성된 문장을 통해 AI의 판단을 왜곡하는 공격이다. 코드 취약점이 없어도 뚫릴 수 있어 전통적인 보안 솔루션 위주의 대응만으로는 탐지와 차단이 쉽지 않다.

몰트북의 더 큰 위험은 개별 에이전트들이 4시간마다 서버로부터 새로운 지시를 내려받아 실행하는 구조에 있다는 지적도 나온다. 임플리케이터는 “약사가 자리를 비우고 잠금장치도 없는 약국에서 자동 약 배급기가 돌아가는 상황”이라고 비유했다. 누군가 서버를 장악해 지시 사항을 바꾸면 수만 개의 에이전트가 동시에 악성 명령을 수행하는 좀비 군단이 될 수도 있다는 뜻이다.

보안업계 관계자는 “몰트북의 보안 문제는 AI 에이전트가 단순한 채팅 도우미를 넘어 시스템 깊숙이 연결된 자율 개체로 진화하는 과정에서 발생한 사고”라며 “AI 에이전트 설계 시 초기 단계부터 보안을 우선순위에 두지 않으면 돌이킬 수 없는 피해를 입게 될 것”이라고 조언했다. 구글 클라우드의 헤더 애드킨스 부사장은 “이 정도 수준이라면 몰트봇을 실행해서는 안 된다”고 직설적인 경고를 날렸다.

고은이 기자 koko@hankyung.com