The OWASP Top 10 for LLM Applications puts prompt injection at number one. Security teams know this. They have known it for years. They write about input sanitization, indirect injection vectors, and confused-deputy problems. The literature is good.

GRC teams mostly treat it as someone else’s reading. The framing, from day one, has been “prompt injection is a security bug.” Bugs get patched. The security team handles bugs. GRC handles risk, compliance, and reporting. Those feel like different boxes.

They are not different boxes once the LLM is sitting inside a regulated workflow. At that point, a successful prompt injection is not just a security event. It can be a material misrepresentation. It can be an audit trail integrity failure. Under the right frameworks, it may be a reportable incident. Most GRC teams have not mapped those connections yet. The compliance companion to two earlier papers, the OWASP taxonomy walkthrough at /research/owasp-for-ai and the memory poisoning deep dive at /research/memory-poisoning-in-personal-agentic-ai-substrates, follows below.

What prompt injection actually is, in one paragraph

An LLM processes input as text. It does not natively distinguish between “instructions from the operator” and “content the operator asked it to read.” Prompt injection exploits that. An attacker embeds instructions inside content the model is supposed to process, a PDF, a web page, a customer message, a database record, and the model follows those instructions instead of (or in addition to) its original task. Direct injection is the user typing adversarial instructions themselves. Indirect injection is the adversarial instructions arriving inside data the model trusts because the operator put it there. Indirect injection is harder to catch and more dangerous in automated workflows, because there is no human typing anything suspicious. The GrafanaGhost incident in April 2026 is a clean example: Noma Security researchers embedded instructions in URL parameters that landed in Grafana’s logs. Grafana’s AI assistant later read those logs during routine analysis, followed the injected instructions, and exfiltrated financial metrics and customer records to an attacker-controlled server. The model did exactly what it was told. The problem is that it was told by the wrong party.

How regulated workflows actually use LLMs

This matters because the injection risk does not land the same way in a content-generation context as it does in a decision-support context. Knowing the difference is the first step GRC teams need to take.

A regulated workflow, for purposes of this argument, is one where an LLM output: (a) informs or constitutes a regulated decision, (b) is recorded as part of a required audit trail, or (c) is transmitted to a client, patient, or counterparty in a capacity where accuracy is a regulatory obligation.

Three representative cases:

Financial advice. A wealth management platform uses an LLM to generate preliminary portfolio recommendations that a human advisor reviews before sending to the client. The client-facing output is regulated under MiFID II (EU) or Regulation Best Interest (US). The LLM output is not the final advice, but it is the input the advisor is reviewing. If prompt injection alters the recommendation, the advisor may forward something they did not generate and cannot fully audit.

Healthcare triage. A hospital uses an LLM to pre-screen patient intake forms and flag urgency categories. A clinician reviews the flags. The triage output feeds the patient record under HIPAA. If an injected instruction causes the model to misclassify urgency or suppress a flag, that classification error may enter the medical record as a documented clinical assessment.

Legal document review. A law firm uses an LLM to summarize contracts and flag non-standard clauses. The summaries go to the client as part of the legal work product. If injection alters what gets flagged or suppressed, the client receives an inaccurate summary under circumstances where the firm has a duty of care.

In all three cases, the LLM is not generating blog posts. It is generating outputs that feed regulated records, regulated communications, or regulated decisions. The security team’s job is to prevent the injection. GRC’s job is to know what happens to the organization if the prevention fails.

The categorization gap

Most GRC risk registers have a row for “AI system risk” that looks something like this: likelihood medium, impact medium, control “model output is reviewed by a human.” That control sounds reasonable. It is, in fact, what most deployment architectures claim. The ForcedLeak vulnerability in Salesforce Agentforce (CVSS 9.4) illustrates why it is not sufficient on its own: the AI was acting through its own legitimate channels, generating outputs that looked like normal system behavior. A human reviewer watching the final output would not necessarily see the injection in the artifact they were reviewing.

The deeper gap is definitional. Prompt injection has not been categorized as a control failure that GRC owns. It is categorized as a technical vulnerability that security owns. This matters because the two teams apply different frameworks to control failures. Security applies the vulnerability management lifecycle: find it, patch it, close the ticket. GRC applies the risk management lifecycle: assess the likelihood, assess the impact, determine the residual risk, decide whether to accept or mitigate, and maintain that decision in the risk register with supporting evidence. For prompt injection in regulated workflows, both lifecycles need to run. Right now, mostly only the security lifecycle runs.

What “breach” means here

This is where the frameworks become concrete. GRC teams need to know which regulatory instrument would treat a successful injection event as a reportable incident or a material finding.

DORA Article 17 (Major ICT-related incident reporting). The Digital Operational Resilience Act applies to financial entities in the EU. An ICT-related incident that meets the materiality thresholds in the regulatory technical standards, including impact on financial outputs, client data, or operational continuity, is reportable to the competent authority. An LLM that has been prompted by an injection to generate incorrect financial analysis and transmit it, either to a client or to a downstream system, could meet those thresholds. DORA Article 6 also requires financial entities to identify, classify, and document ICT risks, which should include AI-system-level injection risks if those systems process financial information.

SR 11-7 (Model Risk Management, Federal Reserve / OCC, US). The Federal Reserve’s supervisory guidance on model risk management treats a model as any quantitative method, system, or approach that applies statistical, economic, financial, or mathematical theories or techniques to transform inputs into estimates. LLMs used in credit, trading, or risk-scoring contexts fall within this scope by function. SR 11-7 requires that model inputs be validated and that unexpected model behavior be investigated and escalated. A prompt injection that changes model outputs is, under SR 11-7 framing, an unvalidated input producing material model error. It belongs in the model risk log.

HIPAA Security Rule (45 CFR Part 164). The Security Rule requires covered entities and business associates to implement safeguards protecting electronic protected health information (ePHI). If an LLM processes intake forms or clinical notes containing ePHI, that LLM is handling ePHI. An injection attack that causes the model to exfiltrate or mishandle that information is a security incident under HIPAA. Whether it rises to a reportable breach depends on whether there was unauthorized access to ePHI, but the incident response obligation begins the moment the organization knows the security event occurred. “The AI did something unexpected” does not defer the reporting clock.

EU AI Act (High-Risk Systems, Article 9 and Annex III). Medical device AI and AI used in critical infrastructure management are explicitly high-risk under the EU AI Act. High-risk systems must maintain a risk management system covering “known and foreseeable risks.” Prompt injection is, as of 2025, a known and documented risk for any LLM. A high-risk AI system that did not account for injection in its risk management documentation is, at minimum, non-conformant with the Act.

None of these frameworks require a catastrophic outcome to trigger obligations. They require a recognized risk to be managed. GRC teams that have not put injection risk on the AI system’s formal risk register have a gap.

What to do on Monday morning

None of this requires a new compliance program. It requires extending the one that exists.

Add prompt injection to AI system risk assessments. If your organization has any LLM in a regulated workflow, the next risk assessment needs a row that asks: what is the injection surface, what controls exist, and what is the residual risk if those controls fail? The control “human reviews output” needs to be examined: does the reviewer have enough context to detect an injected output, or are they reviewing a summary of a summary?

Classify the incident type before the incident. Work with the security team now to agree on what a successful injection in each regulated system would be classified as: security incident only, model risk event, potential reportable breach, or all three. That classification decision should be documented before the event, not negotiated in a fire drill at 11pm.

Review the DORA ICT risk register (if applicable). DORA financial entities: if you have AI in any ICT system that processes financial data or client communications, and that system is not in the ICT risk register with injection as a named risk, the register is incomplete. The RTS thresholds for major incident reporting are mechanical once you have the classification right. You need the classification.

Map to OWASP. OWASP LLM01 (Prompt Injection) is the reference taxonomy that auditors and regulators are converging on. Citing OWASP in your control documentation gives you a recognized framework reference, which matters under the affirmative-defense provisions in the Colorado AI Act and the “recognized frameworks” language showing up in EU guidance. The OWASP paper at /research/owasp-for-ai covers how to use the Top 10 as a regulatory backstop.

Talk to the security team. This sounds obvious. It is not happening at most organizations right now. Security sees injection as a technical problem and does not know that GRC has reporting obligations that depend on the technical outcome. GRC sees injection as a security problem and does not know their audit trail requirements are in scope. The conversation needs to happen before the incident.

The security team’s job is to keep the injections from succeeding. GRC’s job is to know what to do when one does. Right now, most organizations have planned for one of those, not both.

---

See also

• OWASP for AI: taxonomy walkthrough and how to use OWASP as a regulatory backstop
• Memory Poisoning in Personal Agentic AI Substrates: the persistent variant of injection, including GrafanaGhost and ForcedLeak incident detail
• AI Security Regulation in 2026: the regulatory landscape this piece draws DORA, HIPAA, and EU AI Act context from

OWASP LLM 애플리케이션 Top 10은 프롬프트 주입을 1위에 올려놓았습니다. 보안 팀은 이미 알고 있죠. 몇 년째 알고 있었습니다. 입력 무결화, 간접 주입 벡터, confused-deputy 문제를 다루는 문헌도 상당한 수준으로 쌓여 있습니다.

GRC 팀은 대부분 이를 ‘남의 일’로 봅니다. 처음부터 프레이밍이 “프롬프트 주입은 보안 버그”였으니까요. 버그는 패치합니다. 보안 팀이 처리하죠. GRC는 위험, 규제 준수, 보고를 담당합니다. 서로 다른 영역처럼 느껴지는 게 당연합니다.

그런데 LLM이 규제 적용 워크플로우 안에 들어가는 순간, 그 구분이 사라집니다. 그 시점에서 성공적인 프롬프트 주입은 단순한 보안 사고가 아닐 수 있습니다. 중대한 허위 표시가 될 수 있고, 감사 추적의 무결성 실패가 될 수도 있으며, 적용 프레임워크에 따라서는 신고 대상 사건이 되기도 하죠. 대부분의 GRC 팀은 아직 이 연결고리를 명확히 정리하지 못했습니다. 앞서 발행한 /research/owasp-for-ai의 OWASP 분류 체계 해설과 /research/memory-poisoning-in-personal-agentic-ai-substrates의 메모리 오염 공격 심층 분석에 이어, 두 글의 규제 준수 관점 후속편이 아래에 이어집니다.

프롬프트 주입의 실체, 한 단락으로

LLM은 입력을 텍스트로 처리합니다. “운영자의 지시”와 “운영자가 읽으라고 넘긴 콘텐츠”를 기본적으로 구분하지 못하죠. 프롬프트 주입은 바로 이 점을 파고듭니다. 공격자가 모델이 처리해야 할 콘텐츠, PDF, 웹 페이지, 고객 메시지, 데이터베이스 레코드 같은 것들 안에 지시를 심어 두면, 모델은 원래 작업 대신, 혹은 그와 함께 그 지시를 따릅니다. 직접 주입은 사용자가 직접 적대적 입력을 타이핑하는 방식이고, 간접 주입은 운영자가 신뢰해서 가져온 데이터 안에 적대적 지시가 숨겨져 있는 방식입니다. 간접 주입은 탐지하기 더 어렵고 자동화된 워크플로우에서 더 위험한데, 수상한 걸 직접 입력하는 사람이 없기 때문입니다. 2026년 4월의 GrafanaGhost 사건이 전형적인 예입니다. Noma Security 연구진이 Grafana 로그에 도달하는 URL 파라미터 안에 지시를 심었고, Grafana의 AI 어시스턴트가 이후 일상적인 분석 중 해당 로그를 읽으면서 주입된 지시를 따라 재무 지표와 고객 데이터를 공격자가 제어하는 서버로 유출했습니다. 모델은 시킨 대로 정확히 행동했습니다. 문제는 지시를 내린 주체가 잘못된 당사자였다는 점입니다.

규제 적용 워크플로우에서 LLM을 실제로 어떻게 쓰는가

이 맥락이 중요한 이유는, 주입 위험의 파급력이 콘텐츠 생성 맥락과 의사결정 지원 맥락에서 전혀 다르게 나타나기 때문입니다. GRC 팀이 먼저 해야 할 일은 그 차이를 이해하는 것입니다.

이 글에서 말하는 규제 적용 워크플로우란, LLM 산출물이 (a) 규제 대상 결정을 형성하거나 그 결정 자체가 되거나, (b) 필수 감사 추적의 일부로 기록되거나, (c) 정확성이 규제 의무인 상황에서 고객, 환자, 거래 상대방에게 전달되는 워크플로우를 뜻합니다.

대표적인 세 가지 사례를 봅니다.

금융 자문. 자산 관리 플랫폼이 LLM을 활용해 사전 포트폴리오 권고안을 생성하고, 인간 어드바이저가 검토한 뒤 고객에게 전달합니다. 고객 대면 산출물은 EU의 MiFID II 또는 미국의 Regulation Best Interest 규제를 받습니다. LLM 산출물이 최종 자문은 아니지만, 어드바이저가 검토하는 기초 자료입니다. 프롬프트 주입으로 권고 내용이 바뀐다면, 어드바이저는 자신이 생성하지 않았고 충분히 감사할 수도 없는 내용을 고객에게 전달하게 됩니다.

의료 분류. 병원이 LLM을 환자 접수 양식 사전 선별과 긴급도 분류에 활용하고, 임상의가 결과를 검토합니다. 분류 산출물은 HIPAA에 따라 환자 기록에 반영됩니다. 주입된 지시로 인해 모델이 긴급도를 잘못 분류하거나 플래그를 누락한다면, 그 분류 오류는 문서화된 임상 평가로서 의료 기록에 남게 됩니다.

법률 문서 검토. 법무법인이 LLM을 계약서 요약과 비표준 조항 식별에 활용하고, 요약본을 법률 결과물의 일부로 고객에게 제공합니다. 주입으로 인해 식별해야 할 내용이 바뀌거나 누락된다면, 고객은 법무법인이 주의 의무를 지는 상황에서 부정확한 요약을 받게 됩니다.

세 사례 모두에서 LLM은 블로그 포스트를 쓰는 게 아닙니다. 규제 대상 기록, 규제 대상 커뮤니케이션, 규제 대상 결정으로 이어지는 산출물을 생성하고 있습니다. 주입을 막는 건 보안 팀의 일입니다. 방어가 실패했을 때 조직에 어떤 결과가 생기는지를 아는 건 GRC의 일이죠.

분류 체계의 공백

대부분의 GRC 위험 레지스터에는 “AI 시스템 위험” 항목이 있고, 내용은 대략 이런 식입니다. 발생 가능성 중간, 영향 중간, 통제 수단 “모델 산출물을 인간이 검토.” 합리적으로 들립니다. 대부분의 배포 아키텍처가 이 방식을 명시하고 있기도 하고요. 그런데 Salesforce Agentforce의 ForcedLeak 취약점(CVSS 9.4)은 왜 이것만으로 충분하지 않은지를 보여줍니다. AI가 자신의 정상적인 채널을 통해 작동하면서 일반적인 시스템 동작처럼 보이는 산출물을 생성한 사례입니다. 최종 산출물을 검토하는 인간 검토자는 자신이 검토하는 결과물 안에 주입이 있었다는 걸 반드시 감지하지는 못합니다.

더 근본적인 공백은 정의의 문제입니다. 프롬프트 주입이 GRC가 소유하는 통제 실패로 분류되지 않고, 보안이 소유하는 기술적 취약점으로 분류되어 있습니다. 두 팀이 통제 실패에 적용하는 프레임워크가 다르기 때문에 이 구분이 중요합니다. 보안은 취약점 관리 생애주기를 적용합니다. 발견, 패치, 티켓 종료. GRC는 위험 관리 생애주기를 적용합니다. 발생 가능성 평가, 영향 평가, 잔여 위험 결정, 수용 또는 완화 결정, 그리고 뒷받침 증거와 함께 위험 레지스터에 해당 결정 유지. 규제 적용 워크플로우에서의 프롬프트 주입에는 두 생애주기가 모두 작동해야 합니다. 지금은 대부분 보안 생애주기만 돌아가고 있습니다.

여기서 ‘침해’가 뜻하는 것

프레임워크가 구체적으로 적용되는 지점입니다. GRC 팀은 어떤 규제 수단이 성공적인 주입 사건을 신고 대상 사고 또는 중요 지적 사항으로 처리할지 알아야 합니다.

DORA 제17조(중요 ICT 관련 사고 보고). 디지털 운영 회복력법(DORA)은 EU 금융 기관에 적용됩니다. 규제 기술 표준(RTS)의 중요성 임계값, 금융 산출물, 고객 데이터, 운영 연속성에 대한 영향을 충족하는 ICT 관련 사고는 관할 당국에 신고해야 합니다. 주입된 지시를 따라 잘못된 금융 분석을 생성해 고객이나 다운스트림 시스템에 전달한 LLM은 그 임계값을 충족할 수 있습니다. DORA 제6조는 금융 기관이 ICT 위험을 식별, 분류, 문서화하도록 요구하는데, 해당 시스템이 금융 정보를 처리한다면 AI 시스템 수준의 주입 위험도 여기에 포함되어야 합니다.

SR 11-7(모델 위험 관리, 연방준비제도/OCC, 미국). 연방준비제도의 모델 위험 관리 감독 지침은 입력값을 추정치로 변환하기 위해 통계적, 경제적, 금융적, 수학적 이론이나 기법을 적용하는 모든 정량적 방법, 시스템, 또는 접근 방식을 모델로 정의합니다. 신용, 거래, 위험 평가 맥락에서 사용하는 LLM은 기능상 이 범위에 해당합니다. SR 11-7은 모델 입력의 유효성 검사와 예상치 못한 모델 동작의 조사 및 에스컬레이션을 요구하는데, SR 11-7 관점에서 보면 모델 산출물을 바꾸는 프롬프트 주입은 유효성 검사를 거치지 않은 입력이 중대한 모델 오류를 만드는 것입니다. 모델 위험 로그에 남아야 합니다.

HIPAA 보안 규칙(45 CFR Part 164). 보안 규칙은 적용 대상 기관과 사업 제휴자가 전자적 보호 건강 정보(ePHI)를 보호하는 안전장치를 구현하도록 요구합니다. LLM이 ePHI가 포함된 접수 양식이나 임상 노트를 처리한다면, 그 LLM은 ePHI를 다루고 있는 겁니다. 모델이 해당 정보를 유출하거나 잘못 처리하도록 유도하는 주입 공격은 HIPAA상 보안 사고입니다. 신고 의무가 발생하는 침해 사건인지 여부는 ePHI에 대한 무단 접근이 있었는지에 달려 있지만, 사고 대응 의무는 조직이 보안 사건을 인지한 순간부터 시작됩니다. “AI가 예상치 못한 행동을 했다”는 말로 신고 시계를 멈출 수 없습니다.

EU AI Act(고위험 시스템, 제9조 및 부속서 III). 의료 기기 AI와 중요 인프라 관리에 사용되는 AI는 EU AI Act에서 명시적으로 고위험으로 분류됩니다. 고위험 시스템은 “알려진 예측 가능한 위험”을 포괄하는 위험 관리 시스템을 유지해야 합니다. 2025년 기준으로 프롬프트 주입은 LLM에 대해 알려져 있고 문서화된 위험입니다. 위험 관리 문서에 주입을 반영하지 않은 고위험 AI 시스템은, 최소한 EU AI Act 적합성을 갖추지 못한 것입니다.

이 프레임워크들 중 어느 것도 의무를 발생시키는 데 재앙적인 결과를 요구하지 않습니다. 인식된 위험을 관리할 것을 요구합니다. AI 시스템의 공식 위험 레지스터에 주입 위험을 올려두지 않은 GRC 팀에게는 공백이 있습니다.

월요일 아침에 해야 할 일

새로운 규제 준수 프로그램이 필요한 게 아닙니다. 기존 프로그램을 확장하면 됩니다.

AI 시스템 위험 평가에 프롬프트 주입을 추가하십시오. 규제 적용 워크플로우에 LLM이 하나라도 있다면, 다음 위험 평가에는 주입 표면이 어디인지, 어떤 통제 수단이 있는지, 그 통제가 실패했을 때 잔여 위험은 무엇인지를 묻는 항목이 필요합니다. “인간이 산출물을 검토”라는 통제 수단도 꼼꼼히 따져봐야 합니다. 검토자가 주입된 산출물을 탐지할 만한 충분한 맥락을 갖고 있는지, 아니면 요약의 요약을 검토하고 있는 건 아닌지 살펴보십시오.

사고 발생 전에 사고 유형을 분류해 두십시오. 지금 보안 팀과 함께, 각 규제 적용 시스템에서 성공적인 주입이 발생했을 때 어떻게 분류할지 미리 합의해야 합니다. 보안 사고 단독인지, 모델 위험 사건인지, 신고 대상 침해인지, 아니면 셋 다인지. 이 분류 결정은 사고 전에 문서화되어야 합니다. 밤 11시 비상 상황에서 협상할 사안이 아닙니다.

DORA ICT 위험 레지스터를 검토하십시오(해당하는 경우). DORA 적용 금융 기관이라면, 금융 데이터나 고객 커뮤니케이션을 처리하는 ICT 시스템에 AI가 있고 그 시스템이 주입을 명시된 위험으로 ICT 위험 레지스터에 올려두지 않았다면, 레지스터가 불완전한 것입니다. 중요 사고 보고를 위한 RTS 임계값은 분류가 맞으면 기계적으로 적용됩니다. 분류가 먼저입니다.

OWASP에 매핑하십시오. OWASP LLM01(프롬프트 주입)은 감사인과 규제 기관이 수렴하고 있는 기준 분류 체계입니다. 통제 문서에 OWASP를 인용하면 공인된 프레임워크 참조가 생기는데, 이는 Colorado AI Act의 적극적 방어 조항이나 EU 지침에서 등장하는 “인정된 프레임워크” 표현 아래에서 중요한 의미를 갖습니다. /research/owasp-for-ai의 OWASP 논문에서 Top 10을 규제 보완재로 활용하는 방법을 다룹니다.

보안 팀과 대화하십시오. 당연한 말처럼 들리겠지만, 지금 대부분의 조직에서 이 대화가 이루어지지 않고 있습니다. 보안 팀은 주입을 기술적 문제로 보고, GRC가 기술적 결과에 달려 있는 보고 의무를 지고 있다는 걸 모릅니다. GRC는 주입을 보안 문제로 보고, 자신들의 감사 추적 요건이 범위 안에 있다는 걸 모르죠. 사고 전에 대화가 이루어져야 합니다.

주입을 막는 건 보안 팀의 일입니다. 주입이 성공했을 때 무엇을 해야 하는지를 아는 건 GRC의 일이고요. 지금 대부분의 조직은 그 둘 중 하나만 준비해 두고 있습니다.

---

함께 읽기

• AI를 위한 OWASP: 분류 체계 해설과 OWASP를 규제 보완재로 활용하는 방법
• 개인 에이전틱 AI 기반 시스템의 메모리 오염 공격: 주입의 지속적 변형, GrafanaGhost 및 ForcedLeak 사건 상세 포함
• 2026년 AI 보안 규제: DORA, HIPAA, EU AI Act 맥락을 가져온 규제 환경 전반