MS 365 코파일럿에서 심각한 보안 결함 발견...피싱·멀웨어 없이도 데이터 유출 가능

마이크로소프트(MS)의 오피스 애플리케이션에 통합된 AI 도구인 MS 365 코파일럿에서 민감한 데이터가 유출될 수 있는 심각한 보안 결함이 발견됐다.

주요 내용

AI 보안 스타트업 에임 시큐리티가 발견한 이번 보안 결함은 '에코리크'로 명명됐다. 이 취약점을 이용하면 해커들이 사용자와의 상호작용 없이도 민감한 정보에 접근할 수 있는 것으로 드러났다.

MS 365 코파일럿의 경우, 공격자는 단순히 이메일을 보내는 것만으로도 공격을 시작할 수 있어 피싱이나 멀웨어가 필요하지 않다. 이로 인해 기밀 정보와 독점 데이터가 노출될 위험이 있다.

에임 시큐리티의 공동 창업자이자 CTO인 아디르 그루스는 포춘과의 인터뷰에서 에코리크 결함이 단순한 보안 버그가 아니라고 지적했다. 이는 LLM 기반 AI 에이전트의 근본적인 설계 결함에서 비롯된 것으로, 코파일럿을 넘어 더 광범위한 영향을 미칠 수 있다고 설명했다.

그루스는 AI 에이전트를 다루는 기업을 이끈다면 '매우 두려울 것'이라고 말했다. 또한 이러한 보안 결함이 기업들이 AI 에이전트 도입을 주저하는 이유라고 덧붙였다. "기업들은 단순히 실험만 하고 있으며, 매우 두려워하고 있다"고 말했다.

MS는 포춘에 문제를 통보받은 즉시 해결했으며 고객에게 영향이 없었다고 밝혔다. 하지만 그루스에 따르면 사티아 나델라가 이끄는 MS가 이 문제를 해결하는 데 5개월이 걸렸다고 한다. 그루스는 근본적인 해결책을 위해서는 AI 에이전트 설계 방식을 완전히 재고해야 한다고 주장했다.

시장 영향

이번 보안 결함 발견으로 AI 에이전트와 관련된 잠재적 위험에 대한 우려가 커지고 있다. 이는 민감한 데이터를 이러한 취약점으로부터 보호하기 위한 강력한 보안 조치의 필요성을 부각시켰다.

올해 초 MS의 CEO 사티아 나델라는 누구나 데스크톱과 웹 애플리케이션에서 작업을 수행할 수 있는 AI 에이전트를 만들 수 있는 새로운 도구를 소개한 바 있다. 이번 코파일럿 AI 도구의 보안 결함은 AI 에이전트의 보안 확보가 얼마나 중요한지를 다시 한번 상기시켰다.

한편 구글은 실시간으로 사기성 웹사이트를 탐지하고 차단하는 온디바이스 AI 모델을 배포하며 보안 역량을 크게 확대하고 있다. 이러한 선제적인 AI 보안 접근 방식은 AI 시스템의 보안을 강화하려는 다른 기업들의 모델이 될 수 있다.

연초 대비 MS 주가는 12.9% 상승했다.