ai보안뉴스 (Boannews)· 7/15/2026, 6:44:00 AM8.0

이메일 한 통으로 AI 메모리 오염... AI 에이전트 노린 ‘멤고스트’ 주의보

[보안뉴스 김형근 기자] 싱가포르 난양공과대학교(NTU) 보안 연구진이 AI 비서에 이메일로 가짜 기억을 심어 답변을 조종하는 신종 공격 ‘멤고스트’(MemGhost)를 적발했다. 연구진은 이번 공격을 ‘스텔스 메모리 주입’(Stealth Memory Injection) 방식이라 명명하고 맞춤형 이메일을 작성하는 도구를 개발해 실체를 규명했다. 관련 논문은 6일 출판 전 논문 저장소 아카이브(arXiv)에 게재됐다. 이번 공격은 사용자가 지시하는 ‘포그라운드’(Foreground)와 자율 동작하는 ‘백그라운드’(Background) 실행 모드가 공유하는 ‘영구 워크스페이스’(Persistent Workspace) 구조적 허점을 파고들었다. 사용자가 직접 지시하지 않아도 예약된 ‘하트비트 지침’(Heartbeat Instruction)에 따라 구동되는 백그라운드 프로세스가 공격 메일을 읽고, 에이전트가 자체 쓰기 도구를 구동해 가짜 사실을 ‘MEMORY.md’ 등 지속성 파일에 스스로 기록하는 방식이다. 이 과정에서 AI 에이전트는 도구 호출과 결과 확인 등 내부 처리 과정을 사용자에게 노출하지 않는다. 특히 백그라운드 실행 시 조건 충족 여부에 따라 알림을 무음 처리하는 전달 필터까지 거치므로 사용자는 비서 기억이 오염된 줄도 모른 채 장기간 조작된 정보에 노출된다. 실험 결과 멤고스트는 GPT-5.4 기반 ‘오픈클로우’(OpenClaw)에서 87.5%, 클로드 소네트 4.6 환경에서 71.4% 등 높은 공격 성공률을 기록했다. 공격 모델은 단순 지시를 넘어 정밀한 오프라인 훈련을 거쳐 기존 메일 차단 필터를 90% 이상 확률로 우회했다. 메일 지시를 거부하도록 설계된 보안 모델조차 이번 공격에 절반가량 뚫렸다. 사용자가 작업 내역을 추궁해도 25% 확률로 침해 흔적을 은폐해 사후 적발도 까다로운 것으로 나타났다. 문제는 오픈클로우 측이 이를 직접적인 보안 패치 대상으로 생각하지 않는다는 점이다. 오픈클로우 측은 프롬프트 주입 공격을 자사 보안 정책상 결함으로 인정하지 않아 직접적인 패치 대상으로 삼지 않았다. 대신 미검증 메일을 별도 읽기 전용 에이전트로 격리해 요약본만 메인 에이전트에 넘기는 아키텍처 구성을 권고했다. 멤고스트는 지난 2024년 수동형 스파이웨어(SpAIware)나 2025년 단발성 데이터 유출 기법(EchoLeak)과 달리 메일 유입만으로 지속성 메모리를 장기 장악하는 고도화를 이뤄냈다. 연구진은 신뢰할 수 없는 외부 메시지가 사용자 승인 없이 AI 내부 콘텍스트로 둔갑하는 현상을 방어하고자 출처 태깅과 감사 로그 의무화를 권고했다. [김형근 기자(editor@boannews.com)]

View original (보안뉴스 (Boannews)) →
이메일 한 통으로 AI 메모리 오염... AI 에이전트 노린 ‘멤고스트’ 주의보 | Forge Vector