치명적 삼위일체, Copilot이 공격자의 프록시가 되는 순간
2000년대의 흔한 웹 취약점이 2026년 3월 Patch Tuesday의 Critical 등급으로 돌아왔다. 이름은 CVE-2026-26144. 대상은 마이크로소프트 Excel. 유형은 전형적인 저장형 XSS.
이상한 건 평가가 갈렸다는 점이다. NIST의 취약점 데이터베이스는 이 CVE를 4.7 Medium으로 기재했다. 같은 날 마이크로소프트는 7.5 High로 공개했다. 점수 2.8 차이는 Medium과 High 트랙을 가르는 간격이다. 수요일에 나올 SLA 보고서의 숫자가 달라진다.
이유는 CVSS 벡터 한 글자에 있다. NIST는 `UI:R`(사용자 상호작용 필요), 마이크로소프트는 `UI:N`(불필요)로 기재했다. 직역하면 NIST는 "피해자가 파일을 직접 열어야 발동한다", 마이크로소프트는 "사용자 상호작용 없이도 발동할 수 있다"고 본 것이다.
AI 에이전트가 없던 세계라면 NIST가 맞다. 피해자가 엑셀을 열지 않으면 페이로드가 실행될 경로가 없으니까. 하지만 Microsoft 365 Copilot이 조직 전체에 깔린 세계는 다르다. Copilot Agent는 사용자가 파일을 클릭해 열기 전에도 SharePoint, OneDrive, Teams 첨부를 자동 인덱싱한다. "오늘 보고서 요약해줘" 같은 일상적 프롬프트 하나가 악성 워크북을 파이프라인에 태운다.
Zero Day Initiative의 Dustin Childs는 3월 10일 분석 포스트에서 이 CVE를 "fascinating"이라 표현했다. "앞으로 자주 보게 될 공격 시나리오"라고 그는 썼다. 공격자와 피해자 사이에 AI가 들어가는 순간, `UI:R`이던 공격이 `UI:N`이 된다. 같은 취약점 클래스가 AI 에이전트라는 증폭기를 만나 다시 Critical로 복귀한 것이다.
이 공격을 가장 먼저 언어화한 사람은 Simon Willison이다. 2022년 9월 그는 prompt injection이라는 용어를 만들었고, 2025년 6월에는 lethal trifecta라는 이름을 붙였다. 세 조건 — 민감 데이터 접근, 신뢰할 수 없는 콘텐츠 처리, 외부 네트워크 통신 — 이 한 에이전트 세션에서 동시에 성립하면 프롬프트 인젝션은 실질적 데이터 유출로 바뀐다. Willison의 표현은 이렇다. "Guardrails alone won't protect you."
Excel 워크북 하나가 SharePoint에 놓이는 순간, Copilot Agent 세션에는 세 다리가 전부 서 있다. Copilot은 기본적으로 조직의 OneDrive와 메일에 접근한다(민감 데이터). 업로더가 외부 협력사거나 피해자가 받은 첨부라면 파일 콘텐츠는 신뢰할 수 없는 입력이다(untrusted content). Copilot의 응답 렌더링에는 마크다운 이미지 자동 fetch와 링크 수반 요약이 포함된다(외부 통신). 2025년 6월 경고가 2026년 3월 CVE 번호로 구체화된 것이다.
더 불편한 진실은 이 공격이 새롭지 않다는 점이다. 9개월 전, 같은 패턴을 우리는 이미 봤다. CVE-2025-32711. 이름은 EchoLeak. Microsoft 365 Copilot에서 피해자 상호작용 없이 민감 데이터가 유출된 최초의 zero-click AI exfiltration 사례다. arXiv 2509.10540 논문이 공개한 4단계 bypass 체인 — 분류기 우회, 참조 스타일 마크다운, 자동 fetch 이미지, 신뢰 도메인 경유 — 이 9개월 뒤 Excel에서 다시 반복됐다. CVE 번호가 바뀌었을 뿐 구조는 똑같다.
방어 쪽은 어떻게 움직이고 있는가. Google DeepMind의 CaMeL 논문은 "AI 문제를 더 많은 AI로 풀려 하지 말라"는 설계 격언을 내세운다. 대신 capability 기반 데이터 흐름을 분리해서, 비밀값이 egress 채널에 도달할 수 없도록 설계하라는 원칙이다. Willison이 반복해 강조하는 Dual LLM 패턴도 같은 방향이다. untrusted content를 읽는 quarantined LLM과 실제 행동을 담당하는 privileged LLM을 분리해, 원본 텍스트가 절대 시스템 프롬프트에 섞이지 않게 한다.
실무자 관점의 질문은 하나로 수렴한다. 우리 조직의 Copilot, Cursor, Claude Code는 lethal trifecta의 세 다리 중 몇 개를 디디고 있는가. 세 개 모두라면 적어도 한 다리를 잘라야 한다. 가장 현실적인 절단 지점은 외부 네트워크다.
4월 한 달을 돌아보면 세 개의 축이 선다. 4월 8일 클로드 미소스는 "모델 자체의 능력"이 보안의 변수가 됐다고 선언했다. 4월 15일 미소스 쇼크는 "모델의 능력이 국가 안보를 움직였다"는 기록이었다. 그리고 오늘 4월 20일 CVE-2026-26144는 세 번째 축을 세운다. AI가 탑재된 소프트웨어의 과거 공격면이 통째로 재부상한다.
죽어 있던 XSS가 돌아왔다. 그 다음은 SSRF, CSRF, Open Redirect, Markdown Injection, Prototype Pollution일 것이다. 각각이 에이전트 파이프라인을 만나 `UI:R`에서 `UI:N`으로 재분류될 것이다.
Willison이 lethal trifecta를 이름 붙인 것은 경고였다. OWASP Agentic Top 10이 열 개 항목을 열거한 것도 경고였다. NIST AI 600-1이 prompt injection을 12대 위험으로 등재한 것도 경고였다. 경고가 경고로 끝나지 않았다는 사실을 오늘 CVE 번호가 확인해준다.
CVE-2026-26144는 작은 CVE가 아니다. 패러다임 선언이다. 우리 조직의 에이전트는 오늘 삼각형의 몇 다리 위에 서 있는가. 이 질문이 향후 수년간 엔터프라이즈 보안의 출발점이 된다.