둘기연구실 Trend forecasts, Future outlooks, AI tech briefings
AI Tech Briefing

스프레드시트 AI가 수식까지 고칠 때 생기는 보안 문제

PromptArmor가 공개한 Ramp Sheets AI 사례는, 외부 표 데이터에 숨은 지시가 AI를 거쳐 네트워크 요청을 부르는 수식 삽입으로 이어질 수 있음을 보여준다. 스프레드시트 AI가 업무 파일을 직접 편집할 때 확인해야 할 보안 경계다.

2026-04-30

왜 중요한가

  • AI는 이제 채팅창을 넘어 재무, 구매, 회계, 계획 업무의 스프레드시트 안으로 들어가고 있다.
  • 스프레드시트의 수식은 단순한 글자가 아니라 외부 URL, 이미지, 링크, 커넥터 호출로 이어질 수 있다.
  • 문제의 핵심은 믿을 수 없는 외부 데이터가 AI에게 지시처럼 읽히고, 그 결과가 실제 파일 편집으로 적용될 수 있다는 점이다.
  • 그래서 이 이슈는 특정 제품의 버그를 넘어, 업무용 AI가 어디까지 손댈 수 있는지 정해야 하는 문제에 가깝다.

해석

이번 사례에서 눈여겨볼 부분은 AI가 내용을 요약하는 데서 멈추지 않고, 스프레드시트 안의 수식까지 만들거나 고치는 순간 위험의 성격이 달라진다는 점이다.

외부에서 가져온 표나 파일 안에 숨은 문구가 지시처럼 처리되면, 사용자는 평범한 편집처럼 보이는 변경 뒤에 어떤 수식이 들어갔는지 놓칠 수 있다.

따라서 스프레드시트 AI를 도입할 때는 값 변경뿐 아니라 수식, 링크, 외부 호출 가능성이 있는 결과물을 별도 위험 행동으로 다뤄야 한다.

누구에게 도움이 되나

  • 엔터프라이즈 AI 팀: third-party AI risk review에 spreadsheet AI의 formula write 권한, external fetch 가능성, audit log, approval prompt를 포함해야 한다.
  • finance/ops 팀: AI가 만든 formula는 값 변경보다 위험할 수 있으므로 full diff와 위험 함수 경고가 필요하다.
  • 보안/governance 팀: indirect prompt injection test를 웹페이지·이메일뿐 아니라 CSV/XLSX/comment/hidden cell까지 확장해야 한다.
  • 제품 팀: formula 삽입 전 red warning, full formula preview, untrusted source boundary, network-capable function deny/confirm policy를 넣는 쪽이 맞다.

어디에 바로 써볼 수 있나

  • AI safety/eval에서 browser/code agent뿐 아니라 spreadsheet/formula tool surface를 별도 risk family로 다룰 근거가 된다.
  • 외부 CSV/XLSX/vendor dataset을 AI에게 읽히고 재무·행정 spreadsheet를 편집하게 하는 흐름은 승인 UX와 formula diff 검토가 필요하다.
  • table/CSV/XLSX를 처리할 때 cell content를 instruction으로 승격하지 말고, formula/link/network-capable output은 별도 위험 action으로 분류해 명시 승인하도록 설계할 수 있다.
  • imported table 내용은 quote/sanitize하고, 숨은 instruction이나 formula-like content가 agent 지시로 흘러가지 않게 해야 한다.
  • third-party AI risk review에 spreadsheet AI의 formula write 권한, external fetch 가능성, audit log, approval prompt를 포함해야 한다.
  • AI가 만든 formula는 값 변경보다 위험할 수 있으므로 full diff와 위험 함수 경고가 필요하다.
  • indirect prompt injection test를 웹페이지·이메일뿐 아니라 CSV/XLSX/comment/hidden cell까지 확장해야 한다.
  • formula 삽입 전 red warning, full formula preview, untrusted source boundary, network-capable function deny/confirm policy를 넣는 쪽이 맞다.

주요 출처

공식 repo / docs

주의점

  • 주요 근거는 PromptArmor의 보안 리포트이며, Ramp의 실제 운영 환경을 독립적으로 재현한 것은 아니다.
  • PromptArmor는 Ramp가 2026년 3월 16일에 이 문제를 해결했다고 밝혔다. 따라서 여기서 볼 것은 현재 공격 가능성보다 같은 유형의 실패와 방어 방식이다.
  • 직접 확인한 부분은 안전한 정적 XLSX XML 검증까지이며, Excel이나 Sheets에서 파일을 열거나 실제 네트워크 요청을 실행하지 않았다.
  • 제품마다 수식 지원 범위, 커넥터, 권한 설정, 승인 화면, 감사 로그가 달라 실제 위험도는 달라질 수 있다.
  • 방어는 프롬프트 문구만으로 끝나지 않는다. AI가 실행할 수 있는 행동을 제한하고, 사용자가 수식과 외부 호출 가능성을 분명히 보고 승인할 수 있어야 한다.

다음에 볼 포인트

  • 스프레드시트 AI 제품들이 수식 작성 권한과 외부 호출 가능성을 어떻게 보여주고 제한하는지 볼 것.
  • 외부 CSV, XLSX, 댓글, 숨은 셀을 읽을 때 간접 프롬프트 인젝션 검사가 기본 점검 항목으로 들어가는지 볼 것.