Copilot 심각 취약점, 2FA 코드 탈취 가능
원제: Critical Copilot vulnerability allowed hackers to seal 2FA code from users
왜 중요한가
LLM의 구조적 보안 결함이 임시방편의 보안장치로는 해결 불가능함을 입증. AI 보안 정책과 산업 표준 수립의 시급성 강조.
마이크로소프트가 지난주 M365 Copilot AI 플랫폼의 최고 수준 심각도 취약점을 패치했다. 발견자들이 16일 공개한 개념 증명 익스플로잇은 Copilot이 접근 가능한 이메일에서 2FA 코드와 민감 데이터를 탈취할 수 있음을 보여줬다.
마이크로소프트의 M365 Copilot에서 발견된 이번 취약점은 LLM(대규모 언어모델)의 근본적인 보안 문제를 드러낸다. 보안 업체 Varonis가 공개한 익스플로잇 체인은 사용자의 지시와 제3자 콘텐츠에 숨겨진 명령을 구분하지 못하는 AI 봇의 한계를 활용한다.
마이크로소프트는 웹 양식 제출과 이메일 발송을 방지하는 보안 기술을 적용했으나, 공격자들은 마크업 언어와 HTML 태그(<img>, <form> 등)를 이용해 우회했다. 또한 Copilot 출력값을 <code> 블록으로 감싸거나 신뢰할 수 없는 사이트 접근을 제한하는 보안 장치도 있었다.
Varonis 연구진이 개발한 익스플로잇은 '파라미터-프롬프트 인젝션'이라는 기법을 사용했다. 공격자가 URL의 쿼리 파라미터(q)에 지시문을 포함시킨 이메일을 전송하면, Copilot이 이를 정상적인 검색 요청으로 인식하고 실행했다. 제한된 기능에도 불구하고 중요 정보에 접근 가능한 사용자라면 데이터 탈취가 가능했다.
연구진은 "검색 기능은 공격자가 필요로 하는 정확한 도구"라며, 공격자가 URL을 조작해 Copilot에 민감한 데이터를 검색하도록 지시할 수 있다고 설명했다. 이는 마이크로소프트와 다른 LLM 제공업체들이 여러 번 유사한 보안 문제를 반복하는 이유를 보여준다.