AI 챗봇 보안 알렸다가 '공갈 협박' 몰린 보안 전문가들… 유로스타의 역공 논란

유로스타 국제(Eurostar International)가 운영하는 AI 기반 고객용 챗봇에서 보안 취약점을 발견해 이를 알린 보안 전문가들이 오히려 ‘공갈 협박’ 혐의로 몰렸다는 주장이 제기됐다. 영국 보안 전문업체 팬테스트 파트너스(Pen Test Partners)는 이들 보안 결함이 책임 있는 공개 절차를 통해 전달됐음에도 유로스타 측이 초기 대응에 실패했으며, 이후 오히려 위협성 연락으로 받아들일 수도 있다는 반응을 보였다고 밝혔다.

논란은 팬테스트 파트너스가 올해 중반 유로스타의 AI 챗봇에서 다수의 결함을 발견하면서 시작됐다. 해당 취약점은 전문 의뢰 과정이 아닌 정기적인 내부 테스트에서 수집됐다. 구체적으로는 챗봇의 대화 이력과 메시지 검증 기능이 미흡해, 공격자가 기존 메시지를 조작하거나 악의적인 HTML 코드를 챗봇 응답에 삽입할 수 있는 수준이었다. 비록 이 챗봇이 민감한 개인정보와 직접 연결되진 않았지만, 추후 예약 시스템이나 계정 정보와 연동될 경우 상당한 보안 위협이 될 수 있다고 회사는 경고했다.

팬테스트 파트너스는 6월 중순부터 유로스타의 공식 취약점 신고 절차를 통해 문제를 알리려 했지만, 별다른 응답을 받지 못했다. 이후 이메일과 링크드인을 통해 추가 시도를 벌였으나, 적절한 대응은 없었다. 시간이 흐른 뒤 유로스타 측 보안 담당자는 팬테스트 파트너스의 연락 방식이 공갈로 간주될 수 있다는 경고를 전한 것으로 알려졌다. 이에 대해 팬테스트 파트너스의 핵심 테스트 책임자인 로스 도널드는 “정당한 취약점 공개를 통해 문제를 알린 것인데, 협박으로 오해될 수 있다니 당혹스럽다”며 “협박의 조건은 위협성이 전제되는데, 우리는 그 어떤 위협도 하지 않았다”고 강조했다.

이후 유로스타는 최초 신고 이메일을 간과한 사실을 인정하고 일부 문제를 해결했다는 입장을 내놨다. 다만 정확히 어떤 취약점이 수정됐고, 얼마나 보완됐는지는 공개되지 않았다. 팬테스트 파트너스 측은 “조치가 이뤄졌는지, 어떤 식으로 대응했는지 전혀 알 수 없다”며 불투명한 후속 대응에 우려를 표명했다.

이번 사안은 AI 기반 챗봇이 점차 기업 고객 응대의 핵심 수단으로 자리 잡는 가운데, 단순한 사용자 응답 품질을 넘어 기술 인프라 전체의 보안 역량이 중요하다는 점을 시사한다. 또한, 보안 전문가들과 협력해야 할 기업들이 내부 소통 미비로 이들을 오히려 의심하거나 회피하는 등 비생산적인 대응을 보일 경우, 전체 사이버위험은 더욱 악화될 수 있다는 사실도 이번 사례에서 확인됐다. AI 도입이 활발한 흐름 속에서 보안 실무 역량의 내실화가 그 어느 때보다 절실해지는 시점이다.