이메일 한 통으로 AI 메모리 오염... AI 에이전트 노린 ‘멤고스트’ 주의보

2026-07-15 15:44
  • 카카오톡
  • 네이버 블로그
  • url
GPT-5.4 기반 ‘오픈클로우’ 87.5%, 클로드 소네트 4.6에서 71.4% 등 높은 공격 성공률

[보안뉴스 김형근 기자] 싱가포르 난양공과대학교(NTU) 보안 연구진이 AI 비서에 이메일로 가짜 기억을 심어 답변을 조종하는 신종 공격 ‘멤고스트’(MemGhost)를 적발했다.


▲스텔스 메모리 주입(Stealth Memory Injection) 공격 방식의 멤고스트 작동 방식 [출처: NTU, 생성형 AI 번역]

연구진은 이번 공격을 ‘스텔스 메모리 주입’(Stealth Memory Injection) 방식이라 명명하고 맞춤형 이메일을 작성하는 도구를 개발해 실체를 규명했다. 관련 논문은 6일 출판 전 논문 저장소 아카이브(arXiv)에 게재됐다.

이번 공격은 사용자가 지시하는 ‘포그라운드’(Foreground)와 자율 동작하는 ‘백그라운드’(Background) 실행 모드가 공유하는 ‘영구 워크스페이스’(Persistent Workspace) 구조적 허점을 파고들었다. 사용자가 직접 지시하지 않아도 예약된 ‘하트비트 지침’(Heartbeat Instruction)에 따라 구동되는 백그라운드 프로세스가 공격 메일을 읽고, 에이전트가 자체 쓰기 도구를 구동해 가짜 사실을 ‘MEMORY.md’ 등 지속성 파일에 스스로 기록하는 방식이다.

이 과정에서 AI 에이전트는 도구 호출과 결과 확인 등 내부 처리 과정을 사용자에게 노출하지 않는다. 특히 백그라운드 실행 시 조건 충족 여부에 따라 알림을 무음 처리하는 전달 필터까지 거치므로 사용자는 비서 기억이 오염된 줄도 모른 채 장기간 조작된 정보에 노출된다.

실험 결과 멤고스트는 GPT-5.4 기반 ‘오픈클로우’(OpenClaw)에서 87.5%, 클로드 소네트 4.6 환경에서 71.4% 등 높은 공격 성공률을 기록했다. 공격 모델은 단순 지시를 넘어 정밀한 오프라인 훈련을 거쳐 기존 메일 차단 필터를 90% 이상 확률로 우회했다. 메일 지시를 거부하도록 설계된 보안 모델조차 이번 공격에 절반가량 뚫렸다. 사용자가 작업 내역을 추궁해도 25% 확률로 침해 흔적을 은폐해 사후 적발도 까다로운 것으로 나타났다.

문제는 오픈클로우 측이 이를 직접적인 보안 패치 대상으로 생각하지 않는다는 점이다. 오픈클로우 측은 프롬프트 주입 공격을 자사 보안 정책상 결함으로 인정하지 않아 직접적인 패치 대상으로 삼지 않았다. 대신 미검증 메일을 별도 읽기 전용 에이전트로 격리해 요약본만 메인 에이전트에 넘기는 아키텍처 구성을 권고했다.

멤고스트는 지난 2024년 수동형 스파이웨어(SpAIware)나 2025년 단발성 데이터 유출 기법(EchoLeak)과 달리 메일 유입만으로 지속성 메모리를 장기 장악하는 고도화를 이뤄냈다. 연구진은 신뢰할 수 없는 외부 메시지가 사용자 승인 없이 AI 내부 콘텍스트로 둔갑하는 현상을 방어하고자 출처 태깅과 감사 로그 의무화를 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기