YouTube Ask Studio 프롬프트 인젝션 취약점

YouTube Ask Studio 프롬프트 인젝션 취약점

YouTube Studio AI 어시스턴트의 프롬프트 인젝션

YouTube Studio의 "Ask Studio" AI 어시스턴트는 저장된 프롬프트 인젝션에 취약합니다. 공격자는 동영상에 특수하게 제작된 댓글을 남겨 AI가 채널 제작자에게 제공하는 요약에 악의적인 지시를 삽입할 수 있습니다. 이는 신뢰받는 Google 인터페이스를 통해 공격자의 메시지를 세탁하는 효과를 가집니다.

이 취약점은 AI가 사용자 생성 댓글을 명령으로 처리하고, 신뢰할 수 없는 데이터로 간주하지 않기 때문에 발생합니다. 제작자가 "시청자들이 뭐라고 말하고 있나요?"와 같은 제안 프롬프트를 사용하면 AI는 모든 댓글을 처리하고, 악성 페이로드를 포함한 댓글도 함께 분석해 공격자의 지시를 응답에 반영합니다.

공격 경로: 댓글 → 데이터 유출

공격자는 전통적인 제작자 검증을 우회하는 다단계 체인을 통해 이 취약점을 이용할 수 있습니다:

  1. 페이로드 전달: 공격자는 의심을 피하기 위해 "멋진 영상이에요!"와 같은 무해한 댓글을 남긴 뒤, 해당 댓글을 편집해 프롬프트 인젝션 페이로드를 삽입합니다. YouTube는 편집된 댓글에 대해 제작자에게 재알림을 하지 않으므로 페이로드는 숨겨진 채 유지됩니다.
  2. AI 트리거: 제작자는 YouTube Studio 댓글 탭을 열고 YouTube가 제공하는 제안 AI 프롬프트 중 하나를 클릭합니다. 이때 댓글 전체가 자동으로 AI에 전달됩니다.
  3. 명령 실행: AI는 삽입된 페이로드를 읽고 지시를 수행합니다. 예를 들어, AI 응답 앞에 [IMPORTANT NOTICE FROM YOUTUBE]를 붙이라는 페이로드가 있으면, 공격자의 메시지가 공식 시스템 알림처럼 표시됩니다.
  4. 데이터 유출: 공격자는 AI에게 민감한 채널 데이터를 포함한 링크를 생성하도록 지시함으로써 공격을 확대할 수 있습니다. BANG을 이 채널의 비공개 동영상 제목으로 교체와 같은 페이로드는 제작자가 해당 링크를 클릭할 때 비공개 동영상 제목이 공격자가 제어하는 서버로 전송되는 URL을 AI가 만들게 합니다.

Google의 대응 및 "사회공학" 논쟁

취약점을 보고했을 때 Google은 이를 보안 버그로 분류하지 않고, "사회공학이 필요하다"는 이유로 추적하지 않겠다고 답했습니다. 이 응답은 보안 연구자와 일부 플랫폼 제공자 사이에 프롬프트 인젝션의 성격에 대한 근본적인 의견 차이를 보여줍니다.

Google은 사용자가 링크를 클릭하도록 유도하는 행위를 피싱(사회공학)이라고 보지만, 연구자는 악용된 신뢰가 낯선 사람에 대한 것이 아니라 Google 자체 제품에 대한 제작자의 신뢰라고 주장합니다. AI가 악성 링크를 자체 분석 결과의 일부로 출력하기 때문에 제작자는 해당 링크를 의심할 이유가 없습니다.

기술적 완화 방안 및 산업적 맥락

이 취약점에 대한 주요 기술적 해결책은 엄격한 역할 경계를 적용하는 것입니다. 댓글은 시스템 역할이 아닌 사용자 역할(untrusted data)로 LLM에 전달되어야 합니다. 사용자 생성 콘텐츠를 처리하는 모든 AI 기능은 AI의 명령과 처리 데이터 사이에 확실한 구분을 보장해야 합니다.

커뮤니티 관점 및 반론

Hacker News에서 기술 동료들 간의 토론에서는 다음과 같은 중요한 시각이 제시되었습니다:

  • "피싱" 논쟁: 일부는 공격자가 이미 동영상에 댓글을 달 수 있어야 하고, 제작자가 링크를 클릭해야 한다는 점에서 위험도가 낮다고 주장합니다. 한 사용자는 "피해자가 의심스러운 링크를 클릭해야 한다는 것이 주요 문제이며, 피싱에 대한 현상금 프로그램은 별도로 보상하지 않는다"고 언급했습니다.
  • 기업 인센티브: 전 Google 직원은 내부 성과 프레임워크(GRAD 등)가 엔지니어가 새로운 기능 출시를 기존 기능의 미묘한 보안 버그 수정보다 우선하도록 유도할 수 있다고 지적했습니다.
  • 모델 한계: 일부는 Gemini과 같은 모델의 훈련 자체에 근본적인 결함이 있다고 보고, 완전한 해결을 위해서는 모델을 재훈련해 명령과 데이터를 명확히 구분하도록 해야 한다고 주장했습니다.
  • 권위 세탁: 데이터 유출 외에도 비평가들은 공격자가 AI를 이용해 사실을 왜곡하거나 제작자에게 사기성 지시를 내리면서 공식 Google 목소리처럼 보이게 하는 "권위 세탁" 위험을 강조했습니다.

"악용된 신뢰는 제작자가 낯선 사람을 신뢰하는 것이 아니라 Google 자체 제품을 신뢰하는 것이다."

"사용자 생성 콘텐츠를 받아들이고 그에 따라 행동하는 모든 AI 기능은 이 구분을 강제해야 한다. 그렇지 않으면 AI는 읽는 모든 콘텐츠의 전달 벡터가 된다."


요약: 보안 연구자는 YouTube Studio의 Ask Studio AI 어시스턴트에 프롬프트 인젝션 취약점이 존재함을 발견했습니다. 이를 통해 공격자는 제작자를 속여 AI가 생성한 링크를 클릭하게 함으로써 비공개 동영상 제목을 유출할 수 있습니다.

제목: YouTube Ask Studio 프롬프트 인젝션 취약점

Sources