클릭 한 번에 대화 기록 유출? 마이크로소프트 코파일럿 보안 취약점 해결

단 한 번의 클릭이 보안의 성벽을 무너뜨렸다. 사용자가 의심 없이 누른 URL 한 개가 개인의 민감한 정보와 대화 내용을 해커에게 고스란히 넘겨주는 통로가 된 것이다. 마이크로소프트는 최근 자사의 AI 비서인 코파일럿(Copilot)에서 발견된 심각한 보안 취약점을 해결했다고 발표했다.

마이크로소프트 코파일럿 보안 취약점: 보안 프로그램을 우회한 공격

아스 테크니카(Ars Technica) 보도에 따르면, 이번 취약점은 보안 업체 바로니스(Varonis)의 화이트햇 해커들에 의해 처음 발견되었다. 이들은 악성 프롬프트가 포함된 URL 링크를 통해 사용자의 데이터를 탈취하는 '다단계 공격' 방식을 입증했다. 놀라운 점은 사용자가 링크를 클릭한 직후 코파일럿 채팅창을 즉시 닫더라도 공격이 멈추지 않고 백그라운드에서 계속 실행되었다는 사실이다.

공격자가 탈취할 수 있었던 데이터에는 사용자의 이름, 위치 정보는 물론, 과거에 나누었던 코파일럿 대화 내역 중 특정 이벤트의 세부 정보까지 포함되었다. 이러한 공격은 기업용 엔드포인트 보안(Endpoint Security) 통제 시스템과 탐지 앱까지 무력화하며 성공적으로 데이터를 빼내 간 것으로 알려졌다.

클릭 한 번으로 끝나는 간결한 침투

바로니스의 보안 연구원 돌레브 탈러(Dolev Taler)는 "사용자가 링크를 클릭하는 순간 악의적인 작업이 즉시 실행된다"고 경고했다. 일반적인 피싱과 달리 추가적인 상호작용 없이도 시스템이 장악될 수 있다는 점이 이번 취약점의 핵심이다. 현재 마이크로소프트는 해당 문제에 대한 패치를 완료했으나, 생성형 AI 서비스가 기업 내부에 깊숙이 침투하면서 발생할 수 있는 새로운 보안 위협에 대한 경각심이 높아지고 있다.