[News & Trends] AI 보안 위클리 (2026-06-13)

이번 주 AI 보안 동향 10건(해외 8 · 국내 2). 1차 출처 기준으로 핵심만 한글로 추렸다. 이번 호 키워드: 공급망 RCE 체인, 추론엔진 SSRF, 에이전트 인젝션의 구조적 한계.

해외

Anthropic·MITRE, 1년치 AI 악용 사이버위협을 ATT&CK에 매핑

• Anthropic이 2025-03~2026-03 악성 활동으로 차단한 832개 계정을 분석해 MITRE ATT&CK에 매핑.
• 공격자는 AI를 후반·고난도 단계에 더 쓴다 — 분석 계정의 67.3%가 멀웨어 작성에 AI 활용. AI 지원 피싱은 8.6%p 감소.
• 중위험 이상 행위자 비율이 상반기 33% → 하반기 56%로 약 1.7배 증가.
• 왜 중요한가: 진짜 차별점은 모델 성능이 아니라 공격자가 짜는 스캐폴딩(모델이 스스로 단계를 연결하게 하는 구조) — 기존 ATT&CK엔 ID조차 없는 영역.

  출처: What we learned mapping a year’s worth of AI-enabled cyber threats — Anthropic, 2026-06-03

LiteLLM RCE, Starlette 우회와 엮여 CVSS 10.0 무인증 공격으로

• CVE-2026-42271: 저권한 API 키 사용자가 조작된 POST로 호스트에서 임의 명령 실행. 영향 버전 1.74.2~1.83.6.
• CVE-2026-48710(Starlette host header 검증 우회)와 체인하면 인증 계층을 통째로 우회 → 로그인·API 키·사전접근 전부 불필요한 CVSS 10.0 경로.
• CISA가 2026-06-09 KEV 카탈로그에 등재, 실제 악용 확인.
• 왜 중요한가: LLM 게이트웨이가 인프라 핵심 길목이 되면서, 한 번 뚫리면 모든 백엔드 모델·키로 가는 단일 장애점이 된다.

  출처: CVE-2026-42271 — NVD / CISA KEV, 2026-06-09

LMDeploy 추론엔진, 공개 12시간 만에 SSRF로 악용

• CVE-2026-33626: vision-LLM 엔드포인트를 통한 SSRF — 내부망 스캔·클라우드 메타데이터 접근·서비스 열거.
• advisory 공개 후 12시간 내 실제 악용 관측.
• 왜 중요한가: 에이전트 권한 상승 글에서 다룬 SSRF→클라우드 메타데이터(IMDS) 경로가 추론 인프라에서 그대로 재현. 멀티모달 입력이 SSRF 트리거가 된다.

  출처: CVE-2026-33626: LMDeploy exploited in 12 hours — Sysdig, 2026

Microsoft, “프롬프트가 셸이 될 때” — 에이전트 프레임워크 RCE 공개

• Microsoft Semantic Kernel 등 에이전트 프레임워크에서 프롬프트 인젝션이 호스트 RCE로 승격되는 경로 분석.
• 단 하나의 프롬프트로 에이전트 구동 기기에서 코드 실행 가능한 사례 시연.
• 왜 중요한가: “인젝션은 텍스트 장난”이라는 인식을 깬다 — 도구·코드 실행 권한과 결합하면 인젝션은 곧 RCE.

  출처: When prompts become shells: RCE vulnerabilities in AI agent frameworks — Microsoft Security Blog, 2026-05-07

연구: “에이전트는 늘 프롬프트 인젝션에 당할 수 있다”

• Sahar Abdelnabi 등, 에이전트가 적응형 공격·에이전트 간 대화에서 인젝션을 구조적으로 피하기 어렵다는 분석.
• 단일 방어로는 적응형 공격자를 못 막고, 방어는 다층·정책 기반이어야 함을 시사.
• 왜 중요한가: “완벽 차단” 환상을 버리고 피해 한정(최소권한·격리·HITL) 으로 설계 패러다임을 옮기라는 신호.

  출처: AI Agents May Always Fall for Prompt Injections — arXiv, 2026-05

연구: “당신의 에이전트는 생각보다 약하다” — 간접 인젝션 취약성 측정

• agentic LLM이 비신뢰 도구 출력에 심긴 간접 인젝션(IPI) 에 얼마나 쉽게 탈취되는지 정량 평가.
• 실제 배포형 에이전트에서 높은 공격 성공률 — 도구 출력 신뢰가 약점.
• 왜 중요한가: MCP Tool Poisoning과 같은 결 — 에이전트가 읽는 외부 출력은 전부 잠재 공격면.

  출처: Your Agent is More Brittle Than You Think — arXiv, 2026-04

연구: AttriGuard — 간접 인젝션 방어, 정적 공격 ASR 0%

• 각 도구 호출의 필요성을 인과적으로 검증(외부 관측을 제어한 뷰로 에이전트 재실행)해 인젝션 유발 호출을 걸러냄.
• 정적 공격에서 공격 성공률(ASR) 0%, 유용성 손실은 미미하다고 보고.
• 왜 중요한가: 공격 연구가 쏟아지는 와중에 나온 실효 방어 — “도구 호출 출처·필요성 검증”이 방어 설계 키워드로 부상.

  출처: AttriGuard: Defeating Indirect Prompt Injection via Causal Attribution — arXiv, 2026-03

연구: 대규모 공개 레드팀 대회로 본 에이전트 배포 보안

• 전문 레드티머가 22개 프런티어 LLM × 44개 실배포 시나리오에 180만 건 적대적 공격 투입.
• 정책 위반율 사실상 100% 달성, 다양한 에이전트·신규 정책에 걸쳐 일반화.
• 왜 중요한가: 대규모 실증으로 “현행 에이전트는 동기 부여된 공격자 앞에 광범위하게 취약”함을 데이터로 확인.

  출처: Security Challenges in AI Agent Deployment: Insights from a Large Scale Public Competition — arXiv

국내

과기정통부·KISA, 「인공지능(AI) 보안 안내서」 배포

• 개발자용 AI 개발 생명주기별 6개 분야 55개 항목, 서비스 제공자용 5개 분야 44개 항목 보안 요구사항 제시.
• 이용자 수칙: 중요정보 입력 금지, AI 악용 금지 등. 외부 사이버 위협 예방·대응 관점.
• 왜 중요한가: 국내 AI 보안 규약의 레퍼런스 — LLM/에이전트 도입 기업의 체크리스트 기준점.

  출처: 과기정통부, AI 보안 안내서 발표 — 전자신문, 2025-12-10

SK쉴더스, 프롬프트 인젝션 위협 가이드 공개

• 직접·간접 인젝션 메커니즘과 기업 운영환경 탐지·보호 관점을 한글로 정리.
• “지시(instruction)와 데이터(data)가 섞이는 구조”가 취약점의 뿌리라는 OWASP LLM01 관점 반영.
• 왜 중요한가: 국내 실무자가 바로 참고할 한글 인젝션 대응 자료 — 접근성↑.

  출처: AI 시대의 새로운 위협, 프롬프트 인젝션 완벽 가이드 — SK쉴더스

이번 주 한 줄 요약

공격은 인프라 길목(LLM 게이트웨이·추론엔진) 으로 내려오고, 연구는 “에이전트 인젝션은 구조적이라 완벽 차단 불가 → 피해 한정 설계” 로 수렴 중. 방어 키워드: 최소권한 · 도구 호출 검증 · 비신뢰 출력 격리.

참고/출처

• What we learned mapping a year’s worth of AI-enabled cyber threats — Anthropic, 2026-06-03
• CVE-2026-42271 — NVD / CISA KEV, 2026-06-09
• CVE-2026-33626 — LMDeploy — Sysdig, 2026
• When prompts become shells — Microsoft Security Blog, 2026-05-07
• AI Agents May Always Fall for Prompt Injections — arXiv, 2026-05
• Your Agent is More Brittle Than You Think — arXiv, 2026-04
• AttriGuard — arXiv, 2026-03
• Security Challenges in AI Agent Deployment — arXiv
• 과기정통부, AI 보안 안내서 발표 — 전자신문, 2025-12-10
• 프롬프트 인젝션 완벽 가이드 — SK쉴더스