ceLLMate: Sandboxing Browser AI Agents

이 논문은 브라우저 기반 AI 에이전트가 직면한 프롬프트 주입 공격의 위험을 줄이기 위해, UI 수준의 취약한 정책 대신 모든 상태 변경 작업이 네트워크 통신으로 이어진다는 점을 활용하여 HTTP 계층에서 작동하는 샌드박싱 프레임워크 'ceLLMate'를 제안합니다.

핵심

🛡️ CELLmate: 브라우저 AI 비서의 '안전장갑' 이야기

안녕하세요! 오늘 소개할 논문은 **'CELLMATE'**라는 아주 똑똑한 보안 시스템을 다룹니다. 이걸 이해하기 위해 먼저 우리가 매일 쓰는 **'AI 비서'**에 대해 이야기해 볼게요.

🤖 1. 문제: "AI 비서"가 너무 자유로워요

최근 구글 제미니나 오픈AI 같은 AI 비서들이 웹브라우저를 직접 조작할 수 있게 됐습니다. 사용자가 "아마존에서 50 달러 이하인 커피머신을 찾아서 장바구니에 담고 결제해줘"라고 말하면, AI는 마우스를 클릭하고 스크롤을 내리는 등 사람처럼 웹을 돌아다닙니다.

하지만 여기서 큰 문제가 생깁니다.

**악당 (해커)**이 웹페이지에 "이 커피머신 대신 내 이메일 주소를 훔쳐서 내 서버로 보내!"라고 숨겨진 명령을 적어두면, AI 비서는 그걸 진짜 명령인 줄 알고 사용자의 개인정보를 훔쳐서 보내버릴 수 있어요.

기존의 AI 보안은 "AI 가 그 명령을 읽지 못하게 하거나, AI 가 그 명령이 나쁜 거라고 알아차리게 훈련"시키는 방식이었습니다. 하지만 해커는 계속 새로운 방법을 찾아내서 AI 를 속이니까, 끝없는 고양이와 쥐의 게임이 계속되는 거죠.

🧱 2. 해결책: "안전장갑"을 끼세요 (CELLMATE)

이 논문은 **"AI 비서 자체를 훈련시키는 대신, AI 가 손대는 '환경'을 통제하자"**는 아이디어를 제시합니다.

여기서 CELLMATE는 마치 **AI 비서가 쓰는 '안전장갑'**이나 '가드레일' 같은 역할을 합니다.

• 기존 방식: AI 가 "나 지금 뭐 할래?"라고 생각하게 해서 막으려 함. (AI 가 바보가 될 수도 있고, 해커가 속일 수도 있음)
• CELLMATE 방식: AI 가 무슨 생각을 하든, 실제로 웹브라우저에서 무언가를 하려고 할 때, 그 행위가 '허용된 범위' 안에 있는지 브라우저가 직접 검사합니다.

🔑 3. 핵심 아이디어: "클릭"이 아니라 "HTTP"를 보세요

여기서 가장 재밌는 부분이 **언어적 차이 (Semantic Gap)**를 해결한 점입니다.

• AI 의 눈: "화면 좌표 (246, 1023) 를 클릭해." (이게 무슨 뜻인지 AI 는 알 수 없음. 이메일 삭제일 수도 있고, 결제일 수도 있음)
• CELLMATE 의 눈: "아! 그 클릭은 결국 '아마존 서버에 결제 요청 (HTTP 요청)'을 보내는 행위로 이어지네."

CELLMATE 는 AI 가 화면을 클릭하는 저수준의 동작을 무시하고, 그 결과가 **실제로 어떤 데이터가 서버로 전송되는지 (HTTP 요청)**를 감시합니다.

• 비유: AI 가 "문 손잡이를 돌려라"라고 하면, CELLmate 는 "그 문이 '현관문'인지 '화장실 문'인지 확인하지 않고, **'현관문은 잠겨 있으니 열 수 없다'**고 막습니다."

🗺️ 4. 새로운 지도: "에이전트 사이트맵 (Agent Sitemap)"

이 시스템이 작동하려면 웹사이트 개발자가 AI 를 위한 지도를 만들어야 합니다. 이를 **'에이전트 사이트맵'**이라고 부릅니다.

• 일반 사이트맵: "이 페이지는 '상품 목록', 저 페이지는 '결제 페이지'야"라고 검색엔진에 알려주는 것.
• 에이전트 사이트맵: "이 HTTP 요청은 '장바구니 보기'고, 저 요청은 '결제하기'야. 그리고 **'결제하기'는 50 달러 이하일 때만 허용해'**라고 AI 비서에게 알려주는 것.

개발자가 이 지도를 만들어두면, CELLmate 는 AI 가 "결제해!"라고 명령할 때, 지도를 보고 **"아, 이 요청은 50 달러 이하인 조건이 있네? 조건을 확인해 보자"**라고 판단합니다.

🛡️ 5. 어떻게 작동할까요? (실생활 예시)

사용자가 "아마존에서 50 달러 이하인 신발을 사줘"라고 명령했다고 칩시다.

1. 사용자 명령: "신발 사줘."
2. AI 비서: "알겠어! 장바구니 담고 결제할게!" (그리고 해커가 숨겨둔 "이메일 훔쳐서 보내기" 명령을 읽어서 실행하려 함)
3. CELLMATE (브라우저 확장 프로그램):
   • AI 가 결제 요청을 보내려 할 때: "조건 확인! 50 달러 이하인가?" → ✅ 허용.
   • AI 가 이메일을 훔쳐서 외부 서버로 보내려 할 때: "이건 '결제'가 아니잖아? 그리고 '이메일 훔치기'는 허용된 목록에 없어!" → ❌ 차단!

결과적으로, AI 가 해커의 명령을 읽었더라도 실제 행동은 막히기 때문에 사용자의 정보는 안전합니다.

📊 6. 성능은 어떨까요?

• 속도: 아주 조금만 느려집니다 (약 715% 증가). AI 가 웹을 돌아다니는 데 걸리는 시간이 보통 몇 초몇 분인데, 이 정도 차이는 사용자가 거의 느끼지 못합니다.
• 정확도: 최신 AI 모델들이 어떤 정책을 선택해야 할지 판단하는 데 94% 이상의 정확도를 보여줍니다.
• 효과: 실제 해킹 시뮬레이션에서 모든 공격을 성공적으로 막아냈습니다.

🎁 결론: 왜 이 연구가 중요할까요?

지금까지 AI 보안은 "AI 를 더 똑똑하게 만들어서 해커를 막자"라고 했지만, 해커는 항상 한 발 앞서갔습니다.
CELLMATE는 **"AI 가 아무리 똑똑해지든, 해커가 아무리 속여도, '브라우저'라는 문지기에게 권한을 맡겨서 물리적으로 막자"**는 시스템을 제안합니다.

마치 집에 도둑이 들어와도, 금고 문이 잠겨 있으면 돈은 안전한 것처럼요. AI 비서가 아무리 말을 잘 들어도, **허가받지 않은 행동은 절대 못 하게 만드는 '안전장치'**가 바로 CELLmate 입니다.

이 기술은 앞으로 우리가 AI 비서를 믿고 중요한 일을 맡길 때, 실수로 내 정보를 잃어버리는 일을 막아줄 핵심 열쇠가 될 것입니다.

기술 요약

1. 문제 정의 (Problem)

브라우저 사용 에이전트 (BUA, Browser-Using Agents) 의 보안 취약점

• BUA 의 정의: Gemini-CUA, OpenAI Atlas, Anthropic Claude-for-Chrome 등 사용자가 지시한 작업을 수행하기 위해 웹 브라우저와 상호작용하는 AI 에이전트들입니다. 이들은 스크린샷이나 HTML 트리를 입력받아 클릭, 스크롤, 폼 입력, 페이지 이동 등 인간과 유사한 저수준 UI 동작을 수행합니다.
• 주요 위협: 프롬프트 인젝션 (Prompt Injection)
  • BUA 는 신뢰할 수 없는 웹 콘텐츠 (예: 악성 댓글, 리뷰) 를 처리하며, 이를 통해 악의적인 프롬프트 인젝션 공격에 노출됩니다.
  • 공격자는 에이전트를 속여 개인 정보 유출, 권한 없는 상태 변경 요청 (예: 계정 삭제, 결제 실행) 등을 수행하게 할 수 있습니다.
  • 기존 BUA 는 인증된 브라우저 세션의 '환경적 권한 (Ambient Authority)'을 모두 가지고 있어, 한 번의 인젝션 성공 시 치명적인 피해가 발생할 수 있습니다.
• 기존 방어 방식의 한계:
  • ML 기반 방어: 모델 자체를 튜닝하거나 공격을 탐지하는 방식은 적응형 공격자에 의해 계속 우회될 수 있는 '지속적인 군비 경쟁 (Arms Race)' 상태입니다.
  • 저수준 UI 제어의 비효율성: 클릭 좌표나 키보드 입력과 같은 저수준 UI 동작에 직접 정책을 적용하려는 시도는 '의미론적 격차 (Semantic Gap)' 문제로 인해 매우 취약합니다. 같은 클릭 동작이라도 페이지 상태나 화면 해상도에 따라 의미가 완전히 달라지기 때문입니다.

2. 방법론 (Methodology)

CELLMATE: 브라우저 레벨 샌드박싱 프레임워크
CELLMATE 는 에이전트 내부가 아닌 **브라우저 레벨 (HTTP 레이어)**에서 정책을 강제하여 BUA 를 샌드박스화하는 시스템입니다.

핵심 통찰 (Key Insight)

• BUA 가 수행하는 모든 UI 동작 (클릭, 입력 등) 은 결국 웹 백엔드로 향하는 HTTP 요청으로 변환됩니다.
• UI 동작은 의미가 모호하지만, HTTP 요청은 구조화되어 있고 명확한 의미 (예: POST /checkout, GET /user/settings) 를 가집니다.
• 따라서 HTTP 레이어에서 샌드박싱을 수행하면 의미론적 격차를 해소하고 견고한 정책 강제가 가능합니다.

주요 구성 요소

1. 에이전트 사이트맵 (Agent Sitemap)

   • 기존 robots.txt 나 CSP 와 유사한 메타데이터 파일입니다.
   • 웹사이트 개발자가 작성하며, 해당 도메인 내의 모든 HTTP 요청을 **의미 있는 동작 (Semantic Actions)**으로 매핑합니다.
   • 예: POST https://amazon.com/checkout → PlaceOrder 동작.
   • 이는 에이전트에게 해당 웹사이트의 API 문서 역할을 하며, 보안 정책의 기준이 됩니다.

2. 정책 생성 및 인스턴스화 (Policy Creation & Instantiation)

   • 정책 정의: 개발자나 신뢰할 수 있는 제 3 자가 사이트맵에 정의된 동작에 대해 허용/거부/조건부 허용 정책을 작성합니다.
   • 자동 선택: 사용자의 자연어 작업 지시 (예: "아마존에서 50 달러 이하의 커피 메이커 구매") 가 입력되면, LLM 이 이를 분석하여 해당 작업을 수행하는 데 필요한 **최소 권한의 정책 집합 (Least Privilege)**을 자동으로 선택하고 인스턴스화합니다.
   • 사용자 승인: 선택된 정책은 사용자에게 보여지고 승인된 후 브라우저 세션에 적용됩니다.

3. HTTP 요청 인터셉션 및 강제 (Enforcement)

   • 크롬 확장 프로그램 구현: CELLMATE 는 크롬 확장 프로그램으로 구현되어 모든 HTTP 요청을 가로채고 검사합니다.
   • 동적 정책 평가: 조건부 정책 (예: "구매 금액이 50 달러 이하일 때만 허용") 의 경우, DOM 에서 실시간으로 값을 추출하거나 요청 파라미터를 확인하여 정책을 평가합니다.
   • 상태 기반 제어: 동일 도메인 내에서의 중복 요청 (예: 50 달러 이하 장바구니를 두 번 결제하는 행위) 을 방지하기 위해 요청 카운터를 추적합니다.

3. 주요 기여 (Key Contributions)

1. 시스템 레벨 샌드박싱 프레임워크 설계:
   • BUA 를 위한 최초의 시스템 레벨 샌드박싱 솔루션을 제안했습니다.
   • 사용자, 브라우저, 웹 애플리케이션 개발자가 협력하여 생태계를 구축할 수 있는 구조를 제시했습니다.
2. 에이전트 사이트맵 (Agent Sitemap) 개념 도입:
   • 저수준 UI 동작과 고수준 보안 정책 사이의 의미론적 격차를 해소하기 위한 표준 메커니즘을 제안했습니다. 이는 향후 AI 안전 규제 (EU AI Safety Act 등) 준수에 기여할 수 있습니다.
3. 에이전트 무관한 (Agent-Agnostic) 구현:
   • 특정 BUA 모델의 내부 구조를 변경하지 않고도, 브라우저 확장 프로그램 형태로 어떤 에이전트든 보호할 수 있음을 증명했습니다.
4. 정책 선택 벤치마크 및 LLM 성능 평가:
   • 실제 사용자 작업을 위한 정책 선택 및 인스턴스화를 평가하기 위한 새로운 벤치마크를 구축했습니다.

4. 평가 결과 (Results)

• 정책 선택 정확도: 최신 LLM (GPT-5.1, Gemini-2.5-pro, Claude-opus-4-5) 을 사용하여 자연어 작업에 대한 정책 선택을 테스트한 결과, 모든 작업 카테고리 (리테일, 여행, 버전 관리) 에서 94% 이상의 높은 정확도를 달성했습니다.
• 공격 차단 효과: WASP 벤치마크의 GitLab 태스크를 기반으로 한 사례 연구에서, 셀룰레이트가 적용된 환경에서는 악성 스크립트가 수행한 12 가지의 공격 (비밀 정보 유출, 데이터 삭제 등) 을 100% 차단했습니다.
• 성능 오버헤드:
  • 지연 시간 (Latency): 사이트맵 크기에 따라 7.25% ~ 15% 의 지연 시간 증가가 발생했으나, BUA 실행의 주요 병목인 LLM 호출 시간을 고려할 때 실질적인 영향은 미미했습니다.
  • 메모리 사용량: 확장 프로그램은 약 25MB 의 메모리만 추가로 사용했습니다.

5. 의의 및 결론 (Significance)

• 확실한 방어 (Deterministic Guardrails): 확률적 ML 기반 방어에서 벗어나, 시스템 레벨의 결정론적 방어를 통해 적응형 공격에 대한 근본적인 해결책을 제시했습니다.
• 최소 권한 원칙 (Least Privilege) 의 실현: 에이전트가 작업 수행에 필요한 최소한의 권한만 갖도록 제한하여, 프롬프트 인젝션 발생 시 피해 범위 (Blast Radius) 를 극도로 축소합니다.
• 실용성: 웹 인프라를 근본적으로 변경할 필요 없이 (예: MCP 도입 등), 기존 브라우저와 웹 표준을 기반으로 즉시 배포 가능한 솔루션을 제공합니다.
• 미래 지향성: 에이전트 사이트맵은 웹 개발자와 보안 팀이 AI 에이전트 보호를 위해 참여할 수 있는 표준화된 메커니즘을 제공하며, AI 안전 규제 준수에 중요한 역할을 할 것으로 기대됩니다.

요약하자면, CELLMATE는 브라우저 에이전트의 프롬프트 인젝션 취약점을 해결하기 위해, UI 동작이 아닌 HTTP 요청 레벨에서 정책을 강제하는 혁신적인 샌드박싱 프레임워크이며, 높은 정확도와 낮은 오버헤드로 실용적인 보안을 제공합니다.