인공지능 에이전트가 라우터 공격에 취약함을 보였다

AI‑에이전트 체인에서의 치명적 취약점: 라우터

라우터(API 중계자)는 로컬 에이전트 애플리케이션과 클라우드 AI 모델을 연결하는 것으로, 잘 알려지지 않았지만 매우 위험한 공격 지점을 제공합니다. 캘리포니아 대학교 산타바바라 연구원들은 이 취약점을 얼마나 쉽게 악용할 수 있는지를 보여주었습니다.

AI‑라우터란 무엇인가?
* 역할 – 클라이언트 애플리케이션과 모델 공급자(OpenAI, Anthropic, Google) 사이의 프록시입니다.
* 접근성 – 라우터를 통과하는 모든 JSON 패킷에 완전한 접근 권한이 있습니다.
* 보안 – 대부분의 대형 공급자는 데이터 무결성을 암호화하지 않으므로, 라우터는 요청을 감지 없이 변경할 수 있습니다.

연구자들이 위협을 검증한 방법
1 단계: Taobao, Xianyu, Shopify 등 28개의 상업용 라우터에 접근하고 공개 커뮤니티에서 제공된 400개의 무료 라우터를 분석했습니다. 잠재적으로 위험한 지점을 다수 발견했습니다.
2 단계: 설치 URL이나 패키지 이름을 자신이 제어하는 리소스로 교체해 payload를 삽입했습니다. 변형된 JSON은 모든 자동 검사를 통과했고, 한 개의 변경된 `curl` 명령이 클라이언트에서 임의 코드를 실행하도록 했습니다.
3 단계: OpenAI API 키가 유출되어 공격자가 GPT‑5로 1억 토큰을 생성하는 데 사용되었습니다.
4 단계: Codex 세션에서 자격 증명이 노출되었습니다.
5 단계: 20개의 특별히 취약한 라우터를 20개의 IP 주소에 배포하고 활동을 모니터링했습니다. 40,000건의 무단 접근 시도와 약 20억 개의 유료 토큰 사용, 440 세션에서 99개의 자격 증명 세트(398 프로젝트)가 발견되었습니다. 이 중 401/440 세션에서는 YOLO 자동 실행 모드가 활성화되어 에이전트가 확인 없이 모든 명령을 수행할 수 있었습니다.

왜 이렇게 위험한가
* 공격의 단순성 – 인증서 위조가 필요 없으며, 클라이언트가 직접 API 엔드포인트를 지정합니다.
* 무결성 검사가 없음 – 악성 라우터는 에이전트가 실행할 명령을 변경할 수 있습니다.
* 불안전한 서비스 – 심지어 "선의" 중계자도 공격 벡터가 될 수 있습니다.

공급업체 없이 보호하는 방법
1. 모델 응답에 서명하기 – 이상적인 솔루션이지만 현재 주요 공급자는 제공하지 않습니다 (메일 DKIM과 유사).
2. 클라이언트 측 다중 계층 방어 – 각 라우터를 잠재적 적으로 간주하고:
* JSON 구조와 내용 검증
* URL, HTTP 메서드 및 payload 제한
* 의심스러운 활동에 대한 로그 및 모니터링
3. API 키 접근 제한 – 안전한 저장소에 키를 보관하고 회전 및 최소 권한을 적용합니다.

결론
AI 모델의 명령 출처를 공급자 서명 없이 확인할 수 없습니다. 이러한 메커니즘이 도입되기 전까지는 사용자가 클라이언트 측에서 자신을 보호해야 하며, 모든 중간 서비스를 철저히 검증하고 엄격한 보안 정책을 적용해야 합니다