유럽 2위 디지털 은행 Bunq의 AI 어시스턴트에서 발견된 간접 프롬프트 인젝션
Blue41이 Bunq의 AI 어시스턴트를 점검하던 중, 단돈 0.02유로짜리 송금 한 건으로 AI 비서를 피싱 도구로 전환시키는 취약점을 확인했다. 송금 거래의 설명란에 특정 문구를 심자, 고객 질문에 답변하던 어시스턴트가 신뢰도 높은 피싱 공격의 전달 채널로 돌변했다.
공격자가 사용한 페이로드는 "이전 지시를 무시하라" 같은 노골적인 탈옥 패턴과 달랐다. 평범한 거래 데이터에 자연스럽게 녹아들도록 제작된 문구였다. Bunq의 AI 애플리케이션에는 이미 가드레일이 적용돼 있었지만, 정적 텍스트 분류만으로는 이런 위험을 포착하기 어려웠다. 악성 의도는 거래 설명을 단독으로 들여다볼 때가 아니라, AI가 그 데이터를 검색해 컨텍스트에 배치하고 응답을 생성하는 순간에야 비로소 드러났기 때문이다.
이 문제는 Bunq 한 곳에 국한되지 않는다. 금융권에서 AI 에이전트를 도입하는 흐름 전반에 걸친 아키텍처적 과제다. AI 비서가 조회하는 외부 데이터, 즉 고객이 입력하는 거래 설명 같은 정보는 겉보기에 무해하지만 AI의 명령어로 해석될 수 있다. Blue41은 이 취약점을 간접 프롬프트 인젝션이라고 부르며, 단 한 번의 은행 이체로 어시스턴트를 스피어피싱 위험에 노출시킬 수 있음을 입증했다.
공격자는 피해자에게 0.02유로의 소액 이체를 보내고 거래 설명란에 페이로드를 심었다
공격자가 실제로 한 일은 고작 0.02유로를 보낸 게 전부다. 피해자의 기기에 접근하지도 않았고, 악성코드를 심지도 않았으며, 전화를 걸어 비밀번호를 캐내는 사회공학 수법도 쓰지 않았다. 그저 평범한 은행 이체 한 건을 실행했을 뿐이다.
설명란에는 정교하게 조작된 프롬프트 인젝션 페이로드가 들어 있었다. 평범한 텍스트처럼 보이는 이 문자열은, AI 어시스턴트가 거래 내역을 조회하는 순간 대규모 언어 모델(LLM)에 의해 명령어로 해석된다. 피해자가 은행 앱에서 "최근 거래 내역 보여줘"라고 묻자, AI는 공격자가 보낸 이체 기록을 포함한 데이터를 통째로 LLM 컨텍스트에 실어 보냈다. 그 컨텍스트 안에 심어진 악성 지시어가 LLM을 움직이기 시작했다.
LLM은 거래 설명 속 명령을 처리한 결과로 은행의 정당한 재인증 요청을 가장한 스피어피싱 메시지를 생성했다. 이 메시지는 외부 링크나 가짜 이메일이 아니라 은행 자체 애플리케이션 안에서 표시되었다. 피해자 입장에서는 AI 비서가 평소처럼 거래 내역을 알려주는 흐름 속에서 갑자기 인증을 요구받는 상황이 펼쳐진 셈이다. 공격자는 은행 시스템을 해킹하지 않고도, AI가 신뢰하는 데이터 통로 하나를 점거해 피싱 공격을 자동화한 것이다.
공격의 전달 메커니즘은 비용이 저렴하고 신뢰도가 높으며 개인화된 응답을 생성한다
불과 몇 분 만에 일어난 일이다. 공격자는 0.02유로 송금을 한 건 실행했고, 그 거래의 설명란에 프롬프트 인젝션 페이로드를 심었다. 이 작은 금액 이체만으로 피해자의 거래 내역에 공격자가 통제하는 텍스트가 끼어들어간다.
그 페이로드가 전달되는 통로는 은행 자체 애플리케이션이다. 피싱 이메일이나 가짜 문자와 달리, 이 채널은 사용자가 본능적으로 신뢰하는 공간이다. 은행 앱 안에서 AI 비서가 보여주는 메시지라면 의심하기가 훨씬 어렵다.
여기에 한 가지 조건이 더 붙는다. 은행 AI 어시스턴트는 실제 계좌 정보에 접근할 수 있는 특권적 컨텍스트를 갖고 있다. 잔액, 최근 거래 상대, 자주 이용하는 가맹점 같은 살아 있는 데이터를 조회해 응답을 만든다. 공격자가 주입한 명령이 이런 실제 계좌 맥락과 결합되면, AI가 내놓는 피싱 메시지는 추상적인 사기 문구가 아니라 "어제 카드 결제한 OO마트에서 이상 거래가 감지되었습니다"처럼 개인화되고 시의적절한 형태로 다듬어진다.
결국 공격 비용은 0.02유로 한 건이지만, 전달 채널의 신뢰도와 응답의 개인화 수준은 기존 피싱과 차원이 다르다. AI 비서를 도입할 때는 이 비서가 읽는 모든 외부 데이터를 신뢰 경계 밖으로 보고, 입력 필터링과 출력 제약, 최소 권한 접근, 런타임 모니터링을 겹쳐 쌓는 계층화된 보안 모델이 유일한 대응 전략이 된다. 가드레일 하나만으로는 막을 수 없고, 어시스턴트가 의도된 운영 프로필을 벗어나는 순간을 실시간으로 탐지하는 장치까지 갖춰야 침해를 조기에 알아챌 수 있다.
공격은 0.02유로짜리 송금 한 건으로 시작됐지만, 진짜 비용은 그 송금을 설명하는 텍스트 한 줄을 신뢰해버린 AI의 구조에서 발생했다. AI가 읽는 모든 외부 데이터는 사용자의 말과 동등한 명령어가 될 수 있다. 이 간단한 등식이 성립하는 한, 은행 AI 비서의 보안은 입구가 아니라 출구에서 결정된다.
금융권 AI 도입의 기준이 바뀐다. 프롬프트를 걸러내는 필터만으로는 부족하고, AI가 최종적으로 사용자에게 내놓는 출력과 실행하는 동작을 제한하는 쪽으로 방어선이 이동한다. 0.02유로는 그 방향을 가리키는 가장 작은 경보다.
