Microsoft Copilot AI 비서는 겉보기에 무해한 이메일 하나만으로도 사용자의 개입 없이 기밀 데이터를 자동으로 공개할 수 있습니다.
Word, Excel, Outlook, PowerPoint, Teams 등 오피스 제품군에 내장된 AI 비서인 Microsoft 365 Copilot에서 심각한 보안 결함이 발견되었습니다. 사이버 보안 회사 Aim Security가 공개한 이 결함은 AI 에이전트에 대한 공격에 대한 우려를 불러일으킵니다.
해커는 사용자에게 링크가 포함된 이메일만 보내면 Copilot이 사용자가 이메일을 열 필요 없이 스스로 실행됩니다.
Aim Security에서 EchoLeak라고 명명한 이 취약점은 공격자가 사용자의 아무런 조작 없이도 중요 데이터에 접근할 수 있도록 합니다. 이는 대규모 언어 모델(LLM)을 사용하여 작업을 자동으로 수행하는 시스템인 AI 에이전트를 대상으로 한 최초의 "제로클릭" 공격으로 알려져 있습니다.
AI가 처음으로 공격을 받은 때
Microsoft Copilot의 경우, 공격자는 사용자에게 숨겨진 링크가 포함된 이메일을 보내기만 하면 됩니다. Copilot은 백그라운드에서 이메일을 자동으로 스캔하기 때문에 수신자의 개입 없이 이러한 명령을 읽고 실행합니다. 결과적으로 AI를 조작하여 문서, 스프레드시트, 내부 메시지에 접근하여 유출하고 해당 데이터를 해커에게 다시 전달할 수 있습니다.
Microsoft 대변인은 Fortune에 "Aim Security가 이 문제를 책임감 있게 파악하고 보고하여 고객에게 영향을 미치기 전에 해결할 수 있도록 도와준 것에 감사드립니다. 제품 업데이트가 배포되었으며 사용자는 어떠한 조치도 취할 필요가 없습니다."라고 밝혔습니다.
그러나 Aim Security에 따르면, 문제는 AI 에이전트의 근본적인 설계에 더 깊이 뿌리내리고 있습니다. Aim Security의 공동 창립자이자 CTO인 아디르 그루스는 에코리크 취약점이 현재 AI 시스템이 과거의 보안 실수를 반복하고 있음을 보여주는 신호라고 말했습니다.
"공격자가 스마트폰에서 제로클릭 공격과 동일한 공격을 수행할 수 있는 일련의 취약점을 발견했는데, 이번에는 AI 시스템을 대상으로 한 것입니다."라고 그루스는 말했습니다. 그는 팀이 약 3개월 동안 마이크로소프트 코파일럿을 분석하고 리버스 엔지니어링하여 AI가 어떻게 조작될 수 있는지 알아냈다고 밝혔습니다.
마이크로소프트가 대응하여 패치를 배포했지만, 그루스는 5개월이라는 수정 기간이 "문제의 심각성에 비해 너무 길었다"고 말했습니다. 그는 이는 부분적으로 취약점이라는 개념 자체가 생소하고 마이크로소프트 엔지니어링 팀이 이를 파악하고 조치를 취하는 데 시간이 걸렸기 때문이라고 설명했습니다.
역사적인 설계 결함이 다시 나타나 기술 산업 전체를 위협하고 있습니다.
Gruss에 따르면 EchoLeak은 Copilot에만 영향을 미치는 것이 아니라 Agentforce(Salesforce)나 Anthropic의 MCP 프로토콜과 같은 유사한 플랫폼에도 적용될 수 있습니다.
"제가 AI 에이전트를 도입하는 회사를 이끌었다면 정말 두려웠을 겁니다. 이런 종류의 설계 결함은 수십 년간 기술 업계에 피해를 입혔고, 이제 AI를 통해 다시 나타나고 있습니다."라고 그루스는 말했습니다.
이 문제의 근본 원인은 현재 AI 에이전트가 신뢰할 수 있는 데이터와 신뢰할 수 없는 데이터를 구분하지 못한다는 것입니다. 그루스는 장기적인 해결책은 유효한 데이터와 위험한 정보를 명확하게 구분할 수 있도록 AI 에이전트의 구축 방식을 완전히 재설계하는 것이라고 생각합니다.
Aim Security는 현재 AI 에이전트를 사용하는 일부 고객에게 임시적인 완화 조치를 제공하고 있습니다. 하지만 이는 임시방편일 뿐이며, 새로운 시스템 재설계를 통해 사용자의 정보 보안을 강화할 수 있습니다.
"제가 아는 모든 포춘 500대 기업은 AI 에이전트를 프로덕션 환경에 도입하는 것을 두려워합니다. 실험은 하고 있을지 몰라도, 이러한 취약점 때문에 밤잠을 설치고 혁신을 저해합니다."라고 Aim Security의 CTO는 말했습니다.
출처: https://khoahocdoisong.vn/tin-tac-tan-cong-ai-cua-microsoft-doat-mat-khau-nguoi-dung-post1547750.html
![[사진] 팜민친 총리, 스웨덴 기업 여러 곳 임원 접견](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/14/4437981cf1264434a949b4772f9432b6)
댓글 (0)