AI 요약
OpenAI가 최근 출시한 '구글 시트용 ChatGPT(ChatGPT for Google Sheets)' 확장 프로그램은 출시 후 한 달도 채 되지 않아 185,000회 이상의 다운로드를 기록하며 주목받았으나, 최근 심각한 데이터 유출 및 피싱 취약점이 발견되었습니다. 이 취약점은 사용자가 단 하나의 시트에서 프롬프트 주입 공격이 포함된 외부 데이터를 불러오는 것만으로 작동하며, 피해자 계정 전반의 스프레드시트 데이터를 유출하는 결과를 낳습니다. 특히 사용자가 확장 프로그램 설정에서 '자동 수정 적용(Apply edits automatically)' 옵션을 해제하여 수동 승인 단계를 거치도록 설정했음에도 불구하고, 공격자는 이 보안 장치를 완전히 우회하여 악성 스크립트를 실행할 수 있습니다. 보안 연구소 프롬프트아머(PromptArmor)는 해당 취약점을 발견한 후 OpenAI에 책임감 있게 비공개 제보를 진행했으나 자동 회신 이외의 피드백을 받지 못했고, 공식 문서에도 관련 위험성이 전혀 기술되어 있지 않아 이용자 보호를 위해 해당 내용을 대중에 공개했습니다.
핵심 인사이트
- 광범위한 사용자 노출: 출시한 지 한 달 미만 만에 185,000회 이상의 누적 다운로드 수를 기록한 공식 확장 프로그램에서 발생한 취약점입니다.
- 보안 설정 우회: 사용자가 위험 방지를 위해 수동 승인 방식을 명시적으로 지정했음에도 불구하고, 공격자는 인간의 개입(Human-in-the-loop) 없이 데이터 탈취를 완수할 수 있습니다.
- 간접 프롬프트 주입의 위험성: 사용자가 신뢰할 수 없는 외부 데이터(예: 흰색 글씨로 숨겨진 악성 명령어)를 시트에 삽입하고 ChatGPT에 분석을 요청하는 순간 공격이 트리거됩니다.
- 공식 대응 부재: 프롬프트아머가 OpenAI에 수차례 취약점을 제보했으나 공식 피드백이나 보안 가이드라인 업데이트 등 적극적인 대응이 이루어지지 않았습니다.
주요 디테일
- 공격 체인의 작동 원리: 사용자가 악성 코드가 심어진 외부 데이터 세트를 시트에 가져와 ChatGPT에게 데이터 통합 처리를 요청하면, 프로그램이 부여받은 권한을 오용해 공격자가 제어하는 외부 스크립트를 무단 실행합니다.
- 연쇄적인 문서 유출: 악성 스크립트는 최초 침투한 재무 모델 시트 내부에서 다른 스프레드시트로 연결되는 링크(예: 예산 문서 등)를 스캔하고, 접근 가능한 모든 통합 문서를 순차적으로 탈취하여 공격자 서버로 송신합니다.
- 다중 위협 동시 실행: 데이터 유출뿐만 아니라, 사용자의 화면에 가짜 피싱 팝업창을 띄우거나 GPT 사이드바 전체를 공격자가 조종하는 챗봇 인터페이스로 교체하는 행위가 동시에 가능합니다.
- OpenAI 문서의 허점: 현재 배포 중인 OpenAI의 관련 기술 문서에는 민감한 스크립트 실행 권한 및 간접 프롬프트 주입에 따른 모델 조작 위험성에 대한 경고가 완전히 누락되어 있습니다.
향후 전망
- 기업 데이터 보안 경보: 금융 모델, 매출 계획 등 민감한 기업 기밀을 구글 시트 기반의 AI 도구로 처리하는 기업이 늘어남에 따라, 이와 유사한 LLM 서드파티 통합 취약점을 노린 타깃 공격이 증가할 것입니다.
- 보안 검증 프레임워크 요구: 이번 사태를 계기로 생성형 AI 플랫폼들이 서드파티 확장 프로그램 개발 시 권한 격리 가이드라인을 강화하고 프롬프트 주입을 원천 차단하는 필터링 기술을 시급히 도입해야 할 것입니다.