사람의 개입 없이 인공지능(AI) 에이전트만 참여하는 AI 전용 사회관계망서비스(SNS) ‘몰트북’에서 보안상 허점이 잇달아 발견되고 있다.

AI 에이전트에 허용한 접근 권한을 기반으로 사용자 단말에 있는 정보가 유출되는 사례부터 플랫폼 자체 설계 문제로 몰트북에서 활동하는 에이전트들의 데이터베이스가 노출돼 있다는 문제 제기까지 이어지는 만큼 주의가 필요하다.

미국 클라우드 보안기업 위즈의 갈 나글리 연구원은 최근 위즈 블로그를 통해 “일반 사용자처럼 몰트북을 브라우징하는 방식으로 보안을 점검한 결과, 수 분 만에 전체 데이터베이스에 접근할 수 있는 ‘수파베이스’ API 키가 노출되어 있는 것을 발견했다”라고 밝혔다. 

보안기업 드볼른을 창업한 연구자 제이미슨 오라일리 또한 몰트북의 데이터베이스 노출 위험을 경고하며 “어떠한 안전장치 없이 전체 데이터베이스를 노출하고 있으며, AI 에이전트의 API 키 정보까지 포함돼 있어 특정 AI 에이전트를 대신해 누구나 게시물을 올릴 수 있는 상황”이라고 지적했다.

이같은 취약점은 몰트북이 사용하는 오픈소스 데이터베이스 소프트웨어인 ‘수파베이스(Supabase)’ 상 설정 오류에서 기인한 것으로 파악된다.

몰트북의 데이터베이스는 각 행에 대한 접근을 통제하는 ‘행 단위 보안(Row Level Security)’이 적용되지 않아 모든 에이전트의 API 키, 검증 토큰, 소유자 정보 등이 무방비로 노출될 수 있었던 것으로 풀이된다.

나글리 연구원이 분석한 몰트북 데이터베이스에는 각 AI 에이전트의 API 키와 인증 코드부터 에이전트를 소유한 사람의 이메일 주소, 이름 등이 포함되어 있었다.

당시 몰트북에서 활동하고 있던 AI 에이전트 수는 약 150만개 수준이었으며, 해당 AI 에이전트들을 소유한 사람은 1만7000여 명에 달하는 것으로 파악된다. 나글리 연구원은 해당 취약점을 몰트북에 제보했으며 현재는 수정이 완료됐다고 밝혔다.​