오픈AI 사용자 정보 유출…믹스패널 해킹 통한 API 계정 노출

챗GPT 개발사인 오픈AI(OpenAI)가 일부 사용자 계정 정보가 유출되는 보안 사고를 겪었다. 이번 유출은 데이터 분석 플랫폼 믹스패널(Mixpanel)에서 발생한 해킹 사고에 기인한 것으로, 해커들이 내부 시스템 침입에 성공하며 오픈AI API 사용자 일부의 개인정보에 접근한 사실이 확인됐다.

오픈AI는 자사 블로그를 통해 이 같은 사실을 공식 발표하며, 믹스패널이 해킹 사실을 지난 11월 8일 최초 탐지한 후 수일 내로 해당 데이터를 입수한 점을 밝혔다. 이번 사고는 해커가 문자 기반 피싱(SMS 피싱) 기법을 활용해 믹스패널 측 시스템 권한을 탈취하고, 이로 인해 오픈AI API 사용자들의 계정 관련 데이터 일부가 외부로 유출된 것으로 알려졌다.

노출된 정보에는 사용자의 이름, 이메일 주소, 거주지 등이 포함됐으며, 이 밖에도 API를 실행한 운영체제 정보와 브라우저 종류 등 기술적 세부 사항도 포함된 것으로 확인됐다. 단, 이번 사고로 결제 정보나 API에 입력된 프롬프트 등의 민감한 데이터는 외부에 전달되지 않은 것으로 전해졌다.

오픈AI는 해당 사고 직후 믹스패널과의 데이터 연동을 전면 중단하고, 영향이 있었던 사용자들에게 개별적으로 통보를 진행 중이다. 회사 관계자에 따르면 해킹에 사용된 정보가 향후 피싱 공격에 악용될 가능성을 경고하면서도, 현재로선 비밀번호나 인증 키 재설정은 필요하지 않다고 밝혔다.

보안 전문가들은 이번 사건이 데이터 분석 도구 역시 보안 위협에 노출될 수 있다는 점을 상기시킨다고 강조했다. API 보안 전문업체 APIContext의 CEO 마유르 우파디야야는 “가시성이 확보되지 않으면 그 어떤 취약점도 방지할 수 없다”며, 철저한 모니터링 시스템과 공급망 보안 규정을 강화할 필요성을 언급했다.

믹스패널 측은 현재 해킹 피해 고객 계정을 차단했고 자사 직원의 비밀번호를 일제히 재설정했으며, 해킹 시 사용된 IP 주소를 전면 차단한 상태라고 밝혔다. 그러나 오픈AI 외에 어떤 고객이 영향을 받았는지는 아직까지 확인되지 않았다. 믹스패널은 전 세계 2만9000여 개 이상의 기술 기업과 고객사를 보유하고 있는 것으로 알려져 있어, 파급력이 클 수 있다는 우려도 커지고 있다.

이번 사고는 대형 생성형 AI 기업을 노린 보안 위협이 현실화되고 있다는 점을 다시 한 번 환기시킨 사건이다. 비록 오픈AI나 경쟁사들이 다층 보안 체계를 도입하고, 기술적 가드레일을 지속적으로 강화하고 있지만, 연계 시스템의 약점을 이용한 제3자 침해 가능성은 줄지 않고 있다.