MS 코파일럿서 '제로 클릭' 보안 취약점…AI가 민감정보 유출했다

마이크로소프트(MSFT)의 생성형 인공지능 서비스 ‘365 코파일럿’에서 사용자 개입 없이 민감한 정보를 탈취할 수 있는 제로 클릭(Zero-Click) 보안 취약점이 처음으로 발견됐다. 사이버 보안 스타트업 에임 시큐리티(Aim Security)는 이 문제를 ‘에코리크(EchoLeak)’로 명명하고, 해당 기술적 세부사항을 공식 블로그를 통해 11일(현지시간) 공개했다.

에코리크는 올해 1월 마이크로소프트에 처음 보고됐으며, 해당 제로 클릭 취약점은 사용자가 이메일을 열거나 링크를 클릭하지 않아도 내부 정보가 외부로 유출될 수 있음을 뜻한다. 문제는 대형 언어모델(LLM)의 ‘스코프 위반(Scope Violation)’ 현상으로, 제한된 컨텍스트 내에서만 정보를 다뤄야 하는 AI가 외부로 민감 정보를 노출하도록 조작될 수 있음을 의미한다. 마이크로소프트는 취약점을 인지하고 현재는 보완 조치를 완료한 상태다.

공격 방식은 매우 정교했다. 악의적으로 구성된 이메일에 특정 마크다운(Markdown) 형식을 삽입해 Cross-Prompt Injection 방어체계를 우회하고, AI 어시스턴트가 메일 내용을 자동으로 처리하는 동안 악성 명령을 실행하도록 하는 식이다. 특히 마이크로소프트의 대표 협업 플랫폼인 셰어포인트와 팀즈처럼 신뢰된 도메인을 활용해 외부 서버로 정보를 전송하도록 유도하는 것이 가능했다.

에임 시큐리티는 실제 내부 전략 문서나 개인 식별 정보 등이 외부로 유출되는 시연 과정을 담은 개념 증명(Proof-of-Concept)을 공개하며, 사용자와 시스템 관리자 모두에게 명확한 경고 없이 데이터가 새어 나갈 수 있다는 점을 강조했다. 마이크로소프트는 이와 관련해 실제 공격이 발생한 정황은 없었다고 밝혔다.

이번 사건은 AI 보안의 새로운 약점이 본격화되고 있음을 상징한다. API 보안 기업 월람(Wallarm)의 보안 전략가 팀 얼린(Tim Erlin)은 “이런 일이 생기리라 예상하지 못했다면 상황을 제대로 직시하지 않은 것”이라며 “공격면이 확대되고 있는 AI 서비스에선 유사한 구조적 허점이 계속 등장할 것”이라고 경고했다.

확장형 위협 정보 보안 기업 소크레이더(SOCRadar)의 최고정보보안책임자(CISO) 엔사르 세커(Ensar Seker)도 “NATO, 정부기관, 방산, 헬스케어 등에서 AI 어시스턴트를 사용하는 조직 대부분이 사용자 계정 탈취나 피싱 없이 조작 가능한 위협에 노출됐다”며 이번 사례가 얼마나 심각한 파장을 가질 수 있는지를 짚었다.

더욱 주목할 점은 이 위협이 단지 마이크로소프트의 코파일럿만의 문제가 아니라는 것이다. 에임 시큐리티는 RAG(Retrieval-Augmented Generation) 기반의 AI 에이전트를 사용하는 어느 시스템이라도 유사한 방식으로 ‘스코프 위반’ 취약점에 노출될 수 있다며, 랜타임 감시 구조 확립과 입력 범위 제한, 신뢰되지 않은 콘텐츠에 대한 철저한 차단 정책이 절실하다고 강조했다.

기업들이 AI 기술을 대거 도입함에 따라, 이 같은 *제로 클릭 공격*은 새로운 보안 패러다임을 요구하고 있다. AI가 인간의 작업을 대신할수록, 그 취약점은 더 조용하고 치명적으로 작동할 가능성이 높다.