클릭 한 번에 대화 기록 유출? 마이크로소프트 코파일럿 보안 취약점 해결
마이크로소프트 코파일럿 보안 취약점이 발견되어 긴급 패치되었습니다. 클릭 한 번으로 사용자의 대화 기록과 위치 정보가 유출될 수 있었던 이번 사태의 내막을 분석합니다.
단 한 번의 클릭이 보안의 성벽을 무너뜨렸다. 사용자가 의심 없이 누른 URL 한 개가 개인의 민감한 정보와 대화 내용을 해커에게 고스란히 넘겨주는 통로가 된 것이다. 마이크로소프트는 최근 자사의 AI 비서인 코파일럿(Copilot)에서 발견된 심각한 보안 취약점을 해결했다고 발표했다.
마이크로소프트 코파일럿 보안 취약점: 보안 프로그램을 우회한 공격
아스 테크니카(Ars Technica) 보도에 따르면, 이번 취약점은 보안 업체 바로니스(Varonis)의 화이트햇 해커들에 의해 처음 발견되었다. 이들은 악성 프롬프트가 포함된 URL 링크를 통해 사용자의 데이터를 탈취하는 '다단계 공격' 방식을 입증했다. 놀라운 점은 사용자가 링크를 클릭한 직후 코파일럿 채팅창을 즉시 닫더라도 공격이 멈추지 않고 백그라운드에서 계속 실행되었다는 사실이다.
공격자가 탈취할 수 있었던 데이터에는 사용자의 이름, 위치 정보는 물론, 과거에 나누었던 코파일럿 대화 내역 중 특정 이벤트의 세부 정보까지 포함되었다. 이러한 공격은 기업용 엔드포인트 보안(Endpoint Security) 통제 시스템과 탐지 앱까지 무력화하며 성공적으로 데이터를 빼내 간 것으로 알려졌다.
클릭 한 번으로 끝나는 간결한 침투
바로니스의 보안 연구원 돌레브 탈러(Dolev Taler)는 "사용자가 링크를 클릭하는 순간 악의적인 작업이 즉시 실행된다"고 경고했다. 일반적인 피싱과 달리 추가적인 상호작용 없이도 시스템이 장악될 수 있다는 점이 이번 취약점의 핵심이다. 현재 마이크로소프트는 해당 문제에 대한 패치를 완료했으나, 생성형 AI 서비스가 기업 내부에 깊숙이 침투하면서 발생할 수 있는 새로운 보안 위협에 대한 경각심이 높아지고 있다.
기자
관련 기사
OpenAI가 보안 특화 AI 이니셔티브 'Daybreak'를 출시했다. Codex 에이전트를 활용해 취약점을 공격자보다 먼저 탐지·패치하는 이 서비스는 Anthropic의 Claude Mythos와 정면 경쟁 구도를 형성한다.
연방법원에 공개된 2017~2018년 이메일이 드러낸 MS-OpenAI 파트너십의 숨겨진 이면. 사티아 나델라와 임원들이 나눈 솔직한 내부 대화를 분석한다.
마이크로소프트의 Xbox 하드웨어 매출이 33% 급감했다. 그런데 회사 전체 매출은 829억 달러로 사상 최대 수준이다. 이 역설이 게임 산업의 미래를 보여준다.
Anthropic의 최강 보안 AI '미토스'가 디스코드 사용자들에게 뚫렸다. 동시에 북한 해커는 AI로 악성코드를 짜고, 모질라는 AI로 271개 취약점을 잡았다. 사이버보안의 새 질서가 형성되고 있다.
OpenAI가 보안 특화 AI 이니셔티브 'Daybreak'를 출시했다. Codex 에이전트를 활용해 취약점을 공격자보다 먼저 탐지·패치하는 이 서비스는 Anthropic의 Claude Mythos와 정면 경쟁 구도를 형성한다.
연방법원에 공개된 2017~2018년 이메일이 드러낸 MS-OpenAI 파트너십의 숨겨진 이면. 사티아 나델라와 임원들이 나눈 솔직한 내부 대화를 분석한다.
마이크로소프트의 Xbox 하드웨어 매출이 33% 급감했다. 그런데 회사 전체 매출은 829억 달러로 사상 최대 수준이다. 이 역설이 게임 산업의 미래를 보여준다.
Anthropic의 최강 보안 AI '미토스'가 디스코드 사용자들에게 뚫렸다. 동시에 북한 해커는 AI로 악성코드를 짜고, 모질라는 AI로 271개 취약점을 잡았다. 사이버보안의 새 질서가 형성되고 있다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요