기업 업무 환경이 웹 기반으로 이동하면서 브라우저가 새로운 보안 취약 지점으로 떠오르고 있다. 생성형 인공지능(AI)과 서비스형소프트웨어(SaaS) 협업 도구 확산으로 기업 데이터가 브라우저를 통해 외부 서비스에 입력되는 사례가 늘고 있어서다.
8일 미국 보안 기업 킵 어웨어가 최근 발간한 '브라우저 보안 현황 2026 보고서' 보고서에 따르면 기업 직원의 41%가 브라우저에서 최소 1개 이상의 AI 웹 도구를 사용하는 것으로 나타났다. 해당 분석은 자사 브라우저 보안 플랫폼에서 수집한 데이터를 기반으로 이뤄졌다.
AI 활용 과정에서 기업 내부 데이터가 외부 서비스로 전달되는 사례도 확인됐다. AI 프롬프트의 최대 12%가 개인정보나 기업 내부 정보 등 민감 데이터를 포함했고, 파일 업로드 요청의 22%에서도 민감 정보가 발견됐다.
또 AI 사용 상당수는 기업 관리 범위를 벗어난 개인 계정을 통해 이뤄졌다. AI 프롬프트 입력의 58%와 파일 업로드 요청의 46%가 개인 계정을 통해 발생한 것으로 조사됐다.
브라우저가 공격 경로로 활용되는 사례도 늘고 있다. 브라우저 기반 공격 가운데 피싱이 29%로 가장 많았고, 악성 브라우저 확장 프로그램 공격이 19%, 사용자를 속여 정보를 빼내는 사회공학 공격이 17%를 차지했다. 공격 목적은 아이디와 비밀번호 등 계정 정보를 탈취하려는 경우가 약 41%로 나타났다.
킵 어웨어는 기존 보안 체계로는 이러한 위협을 충분히 탐지하기 어렵다고 지적했다. 네트워크와 엔드포인트 중심 보안 도구로는 브라우저 내부 사용자 행동과 데이터 흐름을 분석하기 어렵다는 설명이다.
이에 브라우저 데이터 유출 방지(DLP)와 브라우저 공격 탐지·대응(BDR) 등 브라우저 기반 보안 체계 도입 필요성이 커지고 있다고 조언했다.
국내 보안 업체들도 내부 데이터 유출을 막기 위한 솔루션을 잇달아 내놓고 있다. 소프트캠프는 원격 브라우저 격리(RBI) 기술 기반으로 브라우저에 입력되는 데이터가 보안 정책에 어긋나면 차단하는 기능을 지원한다.
수산아이앤티의 '이워커 SSG'는 허가된 SaaS 서비스만 사용할 수 있도록 하고, 보안 정책에 따라 파일 업로드는 차단하며 로그 기록을 남긴다. 모니터랩도 SaaS, 온프레미스 방식으로 생성형AI 보안 기능을 지원하고 있다.
업계 관계자는 “AI와 SaaS 사용 확대에 따라 내부 구성원들의 의도치 않은 정보 유출 위험성이 커졌다”며 “기업뿐 아니라 정부와 공공기관에서도 관련 보안 솔루션에 대한 관심이 늘고 있다”고 말했다.
박진형 기자 jin@etnews.com
