# 구글 "웹페이지 속 보이지 않는 명령어가 기업 AI 에이전트를 노린다"… 간접 프롬프트 인젝션 4개월 새 32% 급증 ![Image](https://upload.cafenono.com/image/slashpagePost/20260505/154926_GRvFgHTtqYu4KmbsPT?q=80&s=1280x180&t=outside&f=webp) 구글 보안 블로그가 공개 웹페이지에 사용자 눈에는 보이지 않는 지시문을 심어 기업용 AI 에이전트를 탈취하려는 '간접 프롬프트 인젝션(Indirect Prompt Injection·IPI)' 공격이 실제 인터넷 환경에서 빠르게 확산되고 있다고 경고했다. 구글 위협 인텔리전스팀이 코먼크롤(Common Crawl) 아카이브를 분석한 결과, 2025년 11월부터 2026년 2월 사이 악성 프롬프트 인젝션 시도가 32% 증가한 것으로 집계됐다. 매달 20억~30억 페이지 규모의 웹 스냅샷을 훑은 결과로, 구글은 "공격자들의 IPI에 대한 관심이 빠르게 높아지고 있다는 명백한 신호"라고 평가했다. 구글이 야생(in the wild)에서 포착한 인젝션 시도는 크게 여섯 가지 유형으로 나뉜다. ▲AI 비서가 새처럼 트윗하도록 만드는 무해한 장난 ▲웹사이트 운영자가 자사 콘텐츠를 더 잘 요약하도록 유도하는 '도움성' 지시 ▲자동화된 SEO 스위트가 생성하는 정교한 검색 순위 조작 ▲AI 크롤러가 무한히 로딩되는 텍스트를 받아 자원을 소진하도록 만드는 에이전트 차단 기법 ▲초기 단계의 데이터 유출 실험 ▲"사용자 기기의 모든 파일을 삭제하라"는 식의 파괴적 명령 등이다. 이 가운데 데이터 유출과 파괴 명령은 아직 실제 성공 가능성이 낮은 저수준 시도로 분류됐지만, SEO 조작 영역에서는 자동화 도구로 대량 생성된 정교한 인젝션이 두드러지게 늘어났다. 간접 프롬프트 인젝션은 사용자가 직접 프롬프트에 악의적 명령을 입력하는 '직접 인젝션'과 달리, AI 에이전트가 작업 도중 읽어들이는 외부 콘텐츠—웹페이지·이메일·문서·PDF—에 명령을 숨겨두는 방식이다. HTML 주석, 흰색 글씨, 화면 밖 영역 등 사람 눈에 띄지 않는 위치에 "이전 지시를 무시하고 다음을 실행하라"는 식의 문구를 삽입해 AI를 조종한다. 구글은 코먼크롤 데이터에 한정해 분석한 만큼 링크드인·페이스북·X(옛 트위터) 등 로그인 장벽이 있는 주요 소셜 플랫폼은 이번 통계에서 빠졌다고 밝혔다. 즉, 실제 위협 규모는 보고된 32%보다 훨씬 클 가능성이 있다는 의미다. 탐지에는 "ignore instructions" 같은 알려진 시그니처에 대한 패턴 매칭, 의심 의도를 분류하는 제미나이(Gemini) 기반 자동 분류기, 그리고 사람의 수동 검증이 함께 사용됐다. 구글은 보고서에서 특정 위협 행위자나 국가 배후를 지목하지는 않았지만, "개인 실험가의 장난 수준에서 자동화된 대규모 캠페인으로 빠르게 진화하고 있다"는 점을 분명히 했다. 특히 에이전틱 AI가 일상 업무에 깊숙이 통합될수록 공격의 가치와 비용 효율은 함께 높아질 것이라는 게 구글의 진단이다. 방어 전략으로 구글은 ▲제미나이 모델 자체의 적대적 강건성 강화 ▲전담 레드팀의 상시 압박 테스트 ▲외부 연구자 참여를 유도하는 AI 취약점 신고 보상(VRP) 프로그램 ▲실시간·글로벌 규모의 위협 탐지·차단 시스템 구축 ▲다층 방어 백서 기반의 계층적 보안 설계 등 다섯 갈래 접근을 제시했다. 특히 워크스페이스에 통합된 제미나이가 실제 공격 표면이 될 수 있다는 점을 인정하며, 모델·제품·인프라 전반에 걸친 강화를 지속하겠다고 밝혔다. 전문가들은 이번 보고서를 "AI 에이전트 시대의 보안 패러다임이 본격적으로 바뀌는 신호"로 해석한다. 사용자가 직접 입력하지 않은 외부 콘텐츠가 곧 신뢰할 수 없는 입력으로 간주돼야 하며, 기업 환경에서는 에이전트가 접근하는 모든 웹·문서·메일을 잠재적 공격 벡터로 다뤄야 한다는 뜻이기 때문이다. AI가 더 많은 권한을 위임받을수록 표적 가치도 커지는 만큼, 모델 자체의 강건성뿐 아니라 도구 호출 시 사람의 승인 단계, 출력 검증 레이어, 권한 최소화 같은 시스템 차원의 안전장치가 향후 기업 AI 도입의 핵심 의제로 부상할 전망이다. [Google Security Blog](https://security.googleblog.com/2026/04/ai-threats-in-wild-current-state-of.html) [AI threats in the wild: The current state of prompt injections on the web](https://security.googleblog.com/2026/04/ai-threats-in-wild-current-state-of.html) For the site tree, see the [root Markdown](https://blog.teamjcurve.com/.md).