AI 브라우저는 생성AI 기능을 중앙에 배치하며 기존 브라우저보다 더 많은 시스템 권한과 자동화 기능을 요구하는 구조로 진화하고 있다. 그러나 브라우저는 수십 년간 확장 프로그램의 기기 제어 기능을 엄격히 제한해 왔으며, 특히 로컬 명령 실행 권한은 네이티브 메시징 API처럼 사용자 동의와 보안 검토를 반드시 요구해 왔다.

최근 에이전트 기반 기능을 앞세운 일부 AI 브라우저들이 경쟁적으로 기능을 출시하는 과정에서 문서화되지 않은 API 구현, 확장 프로그램 권한 과다, 투명성 부족 등이 문제가 되고 있다.

글로벌 사이버 보안 기업 스퀘어X(SquareX)가 AI 브라우저 코멧(Comet)에 포함된 숨겨진 MCP API가 심각한 보안 위협을 초래할 수 있음을 경고하며, AI 브라우저의 보안 기준 재정립 필요성을 강조하고 있다.

숨겨진 MCP API 기반 로컬 명령 실행과 확장 프로그램 악용 방식

스퀘어X는 코멧 브라우저가 chrome.perplexity.mcp.addStdioServer라는 MCP API를 내장하고 있으며, 이를 통해 에이전틱 확장 프로그램이 로컬 기기에서 임의 명령을 실행할 수 있음을 확인했다.

이 기능은 기존 브라우저에서 명시적으로 금지된 구조임에도 불구하고 공식 문서에는 의도만 간단히 설명돼 있을 뿐, 실제 사용 방식과 위험성은 공개돼 있지 않다. 연구팀은 코멧 내장 확장 프로그램이 사용자 동의 없이 API에 지속 접근하고 로컬 앱을 실행할 수 있다는 점을 문제로 지적했다. 이는 크롬(Chrome), 사파리(Safari), 파이어폭스(Firefox)스퀘가 구축해 온 브라우저 보안 원칙을 근본적으로 훼손하는 요소라는 분석이다.

스퀘어X는 또한 악성 확장 프로그램을 코멧 내장 분석 확장 프로그램으로 위장하는 공격 데모를 제시했다. 연구팀은 확장 프로그램 ID를 스푸핑하는 ‘확장 프로그램 스톰핑(extension stomping)’을 사용했고, 악성 확장 프로그램이 perplexity.ai 페이지에 스크립트를 삽입해 Agentic 확장 프로그램을 호출하도록 구성했다.

이후 MCP 프로토콜을 활용해 피해자 기기에서 워너크라이(WannaCry )실행을 트리거하는 방식으로 공격이 이뤄졌다. 연구팀은 “확장 프로그램 스톰핑 외에도 XSS, 네트워크 MitM 공격 등이 동일한 결과를 만들 수 있다.”고 경고했다.

단일 취약점으로 기기 전체가 노출되는 구조적 위험과 사용자 통제 부재

스퀘어X의 카빌란 사크티벨(Kabilan Sakthivel) 연구원은 API 자체의 위험보다 “퍼플렉시티가 언제 침해되느냐가 문제”라고 강조했다. 단 하나의 XSS 취약점, 직원 대상 피싱 성공, 내부자 위협만으로 공격자는 브라우저를 통해 모든 사용자의 기기에서 임의의 명령을 실행할 수 있다. 즉, 사용자는 자신의 기기 보안을 퍼플렉시티의 보안 수준에 의존하게 되며, 이를 평가하거나 스스로 통제할 방법이 없다. 이는 AI 브라우저가 초래하는 새로운 제3자 위험을 단적으로 보여준다.

스퀘어X는 퍼플렉시티가 에이전틱 확장 프로그램과 분석 확장 프로그램을 코멧 확장 프로그램 대시보드에서 숨겨 사용자가 이를 비활성화할 수 없도록 했다고 밝혔다. 이로 인해 보안팀도 사용자는 해당 확장 프로그램의 존재조차 파악할 수 없으며, 이는 전형적인 ‘숨겨진 IT’ 문제로 이어진다. 문서가 부족해 코멧이 어떤 사이트를 ‘신뢰할 수 있는 사이트’로 지정하고 언제 권한을 확장할지 알 수 없다는 점도 추가적인 위험으로 지적됐다.

스퀘어X 설립자 비벡 라마찬드란(Vivek Ramachandran)은 “AI 브라우저가 기기 제어 API를 조기에 구현하는 것은 매우 위험하다.”고 강조했다. 그는 브라우저 공급업체들이 사용자 동의 없이 시스템 수준 접근 권한을 확장하고 있으며, 이는 기존 브라우저 생태계를 규정해 온 보안 검토와 사용자 통제 원칙을 무너뜨린다고 지적했다.

스퀘어X는 퍼플렉시티에 문제를 제기했으며 현재까지 답변을 받지 못했다고 밝혔다. 이어 AI 브라우저가 기능 경쟁 과정에서 보안을 희생하는 구조가 이미 나타나고 있다며, 업계 전반에 ‘모든 API 공개’, ‘외부 보안 감사’, ‘내장 확장 프로그램 비활성화 옵션 제공’을 의무화해야 한다고 촉구했다. 그렇지 않을 경우 AI 브라우저는 혁신이라는 명목으로 수십 년간의 브라우저 보안 원칙을 우회하는 위험한 선례를 만들게 될 수 있다고 강조했다.

스퀘어X가 공개한 MCP API 문제는 단일 제품의 결함을 넘어, AI 브라우저라는 신흥 플랫폼 전체가 어떤 보안 책임을 져야 하는지 보여주는 구조적 경고 신호다. 브라우저는 OS와 검색 엔진 못지않게 사용자의 모든 활동이 이루어지는 핵심 플랫폼이며, 시스템 수준 권한이 결합될수록 위험은 기하급수적으로 확대된다. 업계가 투명성·감사·사용자 통제라는 기본 원칙을 조기에 재정립하지 않는다면, AI 브라우저는 혁신의 속도만큼이나 위험도 빠르게 확산될 가능성이 크다.