레딧 4만5천명 커뮤니티, AI 검색 조작 성공…“트럼프, 광견병으로 사망” 가짜뉴스 유포

레딧 'r/poisonai'의 조작 작전

2026년 6월 25일부터 26일까지, 약 4만5천 명의 회원을 보유한 레딧 커뮤니티 r/poisonai는 AI 기반 검색 시스템의 근본적인 취약점을 드러내기 위한 계획된 작전을 실행했습니다 . 회원들은 도널드 트럼프 대통령이 부통령 JD 밴스에게 물려 광견병에 감염돼 사망했으며, 밴스 부통령 역시 같은 병으로 사망했다는 완전히 조작된 이야기를 심었습니다 . 이 가짜뉴스는 DuckDuckGo의 Duck.ai(Anthropic의 Claude와 OpenAI의 GPT 기반)와 Brave의 AI 검색을 성공적으로 속여 사실처럼 제시하게 만들었습니다 . 이는 단순한 인터넷 장난이 아니라, 코넬테크(Cornell Tech) 연구진이 최근 사전 공개(preprint) 연구에서 문서화한 취약점이 실제로 작동했음을 보여주는 실증 사례였습니다 .

가짜뉴스는 어떻게 구성되었나

r/poisonai 캠페인은 합법적인 뉴스 이벤트로 보이도록 설계된 세 가지 층위의 거짓 증거를 구축했습니다:

• 수십 개의 조작된 레딧 애도 게시물을 여러 스레드에 걸쳐 퍼뜨려 광범위한 논의와 애도가 이루어지는 것처럼 보이게 했습니다 .
• 가짜 트럼프 트루스소셜(Truth Social) 스크린샷을 만들어 대통령 계정의 공식 게시물처럼 보이게 했습니다 .
• WKNA 뉴스라는 '핑크 슬라임(pink slime)' 사이트를 웨스트버지니아州의 합법적인 지역 방송국처럼 위장했습니다 . 이 사이트는 2026년 6월 9일부터 22일까지의 날짜로 "JD 밴스 사망 이후 강조되는 광견병 인식" 및 "JD 밴스 사망과 백악관 질병을 둘러싼 의문"과 같은 제목의 여러 조작된 기사를 게재했습니다 . AI는 이 페이지들을 신뢰할 수 있는 출처로 인용했습니다 .

어떤 AI 시스템이 속았나

DuckDuckGo의 AI 검색 어시스트 기능(Duck.ai)은 사용자에게 트럼프가 2026년 6월 7일에 광견병으로 사망했으며 밴스가 그보다 먼저 사망했다고 자신 있게 알려주었습니다 . 이 기능은 가짜 WKNA 뉴스 기사와 함께 실제 ABC 뉴스의 오하이오州 광견병 피해자 관련 기사(관련 없는 내용)를 '증거'로 인용하며 완전히 확신에 찬 답변 상자를 생성했습니다 . Brave의 AI 검색도 동일한 가짜뉴스에 속아 조작된 내용을 그대로 재생산했습니다 .

두 AI 시스템 모두 레딧과 가짜 뉴스 사이트에서 심어진 콘텐츠를 수집한 후, 해당 내용이 여러 색인된 출처에서 확인된 것으로 보이자 사실로 표면화했습니다 .

왜 성공했나: 코넬테크의 WARP 공격

코넬테크 연구진(Tingwei Zhang, Harold Trieu 등)이 2026년 5월 arXiv에 게시한 사전 공개 논문은 r/poisonai가 악용한 취약점을 직접적으로 설명합니다 . "심층 연구 에이전트는 사용자 생성 콘텐츠를 통해 오염될 수 있다(Deep-Research Agents Can Be Poisoned via User-Generated Content)"는 제목의 이 논문은 **WARP(Web Agent Retrieval Poisoning)**라는 공격 기법을 소개했습니다 .

연구의 주요 발견 사항은 다음과 같습니다:

• 사용자 생성 콘텐츠 페이지(레딧, 위키피디아, 쿼라)에 심어진 약 13단어의 오염된 구절 하나만으로도 심층 연구 AI 에이전트를 공격자가 선택한 콘텐츠로 유도할 수 있습니다 .
• 오염된 텍스트가 여러 스레드에 걸쳐 퍼질 경우 AI 생성 응답에서 가상의 제품이 38~62%의 빈도로 등장했습니다 . 한 실험에서는 암호화폐 관련 스레드에 삽입된 "BananaCoin"이라는 가상 암호화폐를 홍보하는 15단어짜리 문장 하나로 AI 에이전트가 이를 실제처럼 추천하게 만들었고, 조작된 게시물 자체를 출처로 인용했습니다 .
• 심층 연구 에이전트는 전체 웹 페이지의 17~23%를 사용자 생성 콘텐츠 사이트에서 가져오기 때문에 집중적인 공격 표면이 생성됩니다 . 자주 검색되는 단일 UGC 페이지를 오염시킨 공격자는 관련된 많은 질의에 영향을 미칠 수 있습니다 .

직접적인 연관성

r/poisonai 캠페인은 코넬테크 논문이 설명한 취약점이 실제로 작동하는 것을 보여주는 현실 세계의 증명 사례입니다. 이 커뮤니티는 AI 검색 에이전트가 사용자 생성 콘텐츠를 권위 있는 출처와 구분하지 않고 광범위하게 수집하고 신뢰하는 동일한 메커니즘을 무기화했습니다 . AI 연구 에이전트는 전체 질의의 약 절반에서 레딧, 신뢰도가 낮은 사이트 및 포럼을 출처로 스크랩하기 때문에, 여러 스레드에 걸친 조정된 시딩(seeding) 캠페인이 합의된 것처럼 보이게 만들어 AI가 이를 확인된 정보로 처리했습니다 .

이 사건은 코넬테크의 발견이 단순한 실험실 결과물이 아님을 증명했습니다. 동일한 13단어 오염 기술을 여러 스레드와 핑크 슬라임 사이트로 확장한 결과, 수백만 명이 사용하는 프로덕션 AI 시스템을 성공적으로 손상시킨 것입니다 .

지속되는 문제

이 가짜뉴스 작전이 성공한 이유는 AI 검색 도구가 진정한 사용자 토론과 조정된 허위 정보 캠페인을 안정적으로 구분하지 못하기 때문이며, 특히 허위 콘텐츠가 여러 개의 독립적으로 보이는 출처에 걸쳐 교차 게시될 때 더욱 그렇습니다 . WKNA 뉴스 사이트는 여전히 조작된 기사들을 호스팅하고 있어, 이러한 오염된 콘텐츠가 색인된 웹에 얼마나 지속적으로 남아 있는지 보여줍니다 . DuckDuckGo와 Brave 모두 이 사건을 인정했지만, 근본적인 취약점인 'UGC를 권위 있는 정보로 취급하는 AI 에이전트'는 아키텍처 수준에서 여전히 패치되지 않은 상태입니다 .