[긴급] 일상적인 캘린더 초대가 해킹의 통로로? Comet 브라우저의 보안 취약점 분석



최근 AI 기반 검색 엔진의 선두주자인 Perplexity AI가 제공하는 전용 브라우저, 'Comet'에서 매우 심각한 보안 취약점이 발견되었습니다. 단순히 웹 서핑을 하는 것만으로도 공격자가 사용자의 로컬 파일 시스템에 접근하여 민감한 정보를 탈취할 수 있는 경로가 노출된 것입니다.



1. 사건의 핵심: 캘린더 초대의 배신

이번에 발견된 취약점의 핵심은 '악성 캘린더 초대장'에 있습니다. 공격자가 특수하게 제작된 스크립트를 포함한 캘린더 초대장을 발송하면, 사용자가 이를 수락하거나 확인하는 과정에서 Comet 브라우저의 샌드박스(Sandbox) 경계가 무너집니다.

이 과정에서 브라우저는 단순한 웹 페이지 렌더링을 넘어, 사용자의 컴퓨터 내부에 저장된 문서, 이미지, 그리고 설정 파일 등 로컬 파일 시스템에 접근할 수 있는 권한을 갖게 됩니다. 이는 마치 집 문을 열어준 대가로 도둑에게 집 안의 모든 서랍을 뒤질 수 있는 열쇠를 건네준 것과 같습니다.





2. 왜 위험한가? (기술적 관점)

보안 전문가들은 이번 취약점이 다음과 같은 이유로 매우 치명적이라고 경고합니다.

  • 사회 공학적 기법과의 결합: 캘린더 초대는 스팸 메일보다 훨씬 신뢰도가 높습니다. 사용자는 비즈니스 미팅이나 일정 확인을 위해 의심 없이 클릭할 가능성이 큽니다.
  • 샌드박스 우회: 현대적인 브라우저는 웹사이트가 사용자 PC에 영향을 주지 못하도록 '샌드박스'라는 격리 공간을 사용합니다. 하지만 이번 취약점은 이 격리 벽을 허물어 로컬 데이터 접근을 허용합니다.
  • 연쇄 공격의 시작점: 탈취된 로컬 파일에는 브라우저 쿠키, 세션 토큰, 심지어 기업의 내부 기밀 문서가 포함될 수 있으며, 이는 2차적인 계정 탈취나 랜섬웨어 공격으로 이어질 수 있습니다.


3. 기업 환경에서의 파급력: '공급망 공격'의 전조

특히 기업용 환경에서 Comet 브라우저를 사용하는 조직은 더욱 주의해야 합니다. 기업용 캘린더(Google Workspace, Outlook 등)를 통해 유포되는 악성 초대는 조직 전체의 네트워크로 침투하는 '공급망 공격(Supply Chain Attack)'의 시발점이 될 수 있기 때문입니다. 한 명의 직원이 수락한 일정이 조직 전체의 데이터 유출로 이어질 수 있습니다.



4. 대응 방안: 우리는 무엇을 해야 하는가?

현재 사용자들은 다음과 같은 즉각적인 조치를 취해야 합니다.

  1. 브라우저 업데이트 확인: Perplexity 측에서 패치를 배포했는지 즉시 확인하고, Comet 브라우저를 최신 버전으로 업데이트해야 합니다.
  2. 출처 불분명한 초대 주의: 아는 사람이 보낸 것이 아니거나, 내용이 의심스러운 캘린더 초대장은 절대 열람하지 마십시오.
  3. 보안 솔루션 강화: 엔드포인트 보안(EDR) 솔루션을 통해 비정상적인 파일 접근 시도를 모니터링해야 합니다.


결론: 기술의 발전은 편리함을 가져오지만, 그만큼 새로운 공격 통로를 만들어냅니다. AI와 브라우저 기술이 결합된 새로운 형태의 도구들을 사용할 때는 더욱 철저한 보안 의식이 요구됩니다.