MS 코파일럿서 이메일 2FA 코드 빼내는 최고 위험 취약점 패치됐다

마이크로소프트가 지난주 화요일 자사 M365 코파일럿 AI 플랫폼에서 '최고 위험(맥스 크리티컬)'으로 분류한 취약점을 패치했다. 월요일에는 이 취약점을 발견해 마이크로소프트에 신고한 연구진이, 자신들의 개념증명(PoC) 익스플로잇으로 코파일럿이 접근할 수 있는 이메일에서 2FA(이중 인증) 코드와 그 밖의 민감한 데이터를 빼낼 수 있었던 방법을 공개했다.

기사가 짚는 근본 원인은 AI 봇이 사용자가 직접 준 지시와, 모델이 요약하거나 답변을 작성하거나 사용자를 대신해 작업을 수행할 때 쓰는 제3자 콘텐츠에 몰래 심어진 지시를 구분하지 못한다는 점이다. 마이크로소프트와 다른 LLM 공급사들은 이 경계를 안전하게 지키지 못한 탓에, 모델의 '고칠 수 없는 순진함'이 낳는 결과를 억제하려 복잡하고 임시방편적인 가드레일을 세울 수밖에 없는 처지다.

코파일럿을 비롯한 대부분의 LLM에 내장된 한 가드레일은 웹 폼 제출이나 이메일 전송처럼 사용자 데이터를 외부로 빼낼 수 있는 행동을 막는다. 이를 우회하기 위해 해커들은 마크업 언어를 활용했다. 마크업 언어는 HTML 태그 없이도 제목·목록·링크 같은 서식 요소를 텍스트에 더할 수 있게 해준다.

또 다른 우회법은 민감한 데이터를 img나 form 같은 HTML 태그 안에 감싸는 것이다. 어느 쪽이든 데이터를 담은 웹 요청이 공격자의 웹 서버에 도달하고, 그곳 로그에 비밀 정보가 그대로 기록된다.

마이크로소프트의 또 다른 가드레일은 코파일럿 출력을 code 블록으로 감싸 브라우저가 단순 텍스트로 취급하게 만드는 것이다. 코파일럿이 명시적 승인 없이 방문할 수 있는 사이트를 제한하는 장치도 있다. 코파일럿은 마이크로소프트 도메인에는 전면적으로 요청을 보낼 수 있지만, 신뢰할 수 없는 사이트로 가는 요청은 가드레일이 제한한다.

그러나 보안업체 바로니스(Varonis)는 이 가드레일들을 뛰어넘는 익스플로잇 체인을 고안했다. 첫 번째 요소는 연구진이 '파라미터-투-프롬프트 인젝션(Parameter-to-Prompt Injection)'이라 부르는 기법이다. 여기서 파라미터는 URL의 q를 가리키며, q는 포함된 쿼리를 표시하는 데 쓰인다.

이 기법은 프롬프트 인젝션과 가까운 사촌 격이다. 차이는 악의적 명령이 이메일이나 다른 신뢰할 수 없는 콘텐츠가 아니라 쿼리 파라미터 안에 들어 있다는 점이다. 결국 AI가 콘텐츠 속에 숨은 명령과 사용자의 진짜 지시를 분간하지 못하는 구조적 약점이 또 한 번 보안 위협으로 이어진 셈이다.