Aim Security의 보안 연구원들은 Microsoft 365 Copilot에서 최초로 알려진 제로클릭 인공 지능(AI) 취약점인 "EchoLeak"를 발견했습니다. 이 취약점을 악용한 공격자는 사용자의 상호 작용, 링크 클릭, 다운로드 없이 악의적으로 작성된 이메일을 보내는 것만으로 기업의 민감한 데이터를 은밀하게 빼돌릴 수 있습니다.
Aim Security의 공동 창립자이자 CTO인 아디르 그루스는 제로 클릭 공격에 대해 설명하면서 "이 취약점은 공격자가 사용자 상호 작용 없이도 Microsoft 365 Copilot 컨텍스트에서 가장 민감한 정보를 자동으로 빼낼 수 있는 방법을 보여주기 때문에 AI 보안 연구에 있어 중요한 획기적인 사건입니다."라고 말했습니다.
에코리크란 무엇인가?
2025년 1월에 발견되어 5월에 Microsoft MSRC 팀이 수정한 후 공개된 EchoLeak은 공격자가 악의적으로 제작된 이메일을 발송하는 것만으로 사용자의 연결된 Microsoft 365 환경에서 Outlook 이메일, OneDrive 파일, Office 문서, SharePoint 콘텐츠, Teams 채팅 기록 등 민감한 정보를 유출할 수 있도록 허용했습니다.
이 이메일은 여러 보안 장치를 우회하여 Copilot이 비공개로 유지해야 할 내부 데이터를 유출하도록 유도했습니다.
더욱 놀라운 점은 공격자가 해당 조직 직원일 필요가 없다는 것입니다. 외부 발신자라면 누구든 공격을 시작할 수 있습니다.
Aim Labs 팀은 수요일 블로그 게시물에서 EchoLeak이 "대규모 언어 모델(LLM) 범위 위반"이라는 개념을 악용했다고 밝혔습니다. 이 경우, 악의적인 공격자는 마크다운 서식을 사용하여 위장한 숨겨진 프롬프트가 포함된 겉보기에 무해한 이메일을 보냅니다.
나중에 사용자가 Copilot에 관련 질문을 하면 AI는 해당 맥락에서 이메일을 검색하고 자신도 모르게 내장된 명령을 실행하여 문서, 이메일, 채팅과 같은 내부 소스에서 민감한 데이터를 추출합니다.
그런 다음 공격자의 프롬프트는 Copilot에게 추출된 데이터를 이미지나 링크에 삽입하도록 지시합니다. 이렇게 하면 브라우저가 SharePoint나 Teams와 같은 신뢰할 수 있는 Microsoft 도메인을 통해 자동으로 리소스를 가져오고, 민감한 정보를 공격자가 제어하는 서버로 즉시 전송합니다. 이 모든 과정은 사용자에게는 보이지 않습니다.
EchoLeak 공격 체인 작동 방식
공격 체인은 4단계로 작동합니다.
1. XPIA 바이패스
Microsoft는 XPIA(크로스 프롬프트 인젝션 공격)라는 시스템을 사용하여 의심스러운 프롬프트가 M365 Copilot의 기본 LLM에 도달하는 것을 탐지하고 차단합니다. 그러나 Aim Security는 프롬프트 인젝션 공격이 AI/어시스턴트/Copilot 등과 같은 단어를 완전히 배제하여 이메일 수신자에게 일상적인 안내처럼 표현될 경우 XPIA 분류기를 쉽게 우회할 수 있음을 발견했습니다.
2. 링크 삭제 우회
일반적으로 Copilot은 사용자가 해당 링크를 클릭하기 전에 채팅 기록에서 외부 마크다운 링크를 삭제합니다.
하지만 참조 스타일 마크다운 링크와 같은 속임수를 사용하면 공격자는 Copilot의 삭제 필터를 회피하고 M365 Copilot에 의해 채팅에서 제거되지 않습니다. 이러한 링크는 LLM 출력에서 조용히 유출됩니다.
3. 이미지 삭제 우회
공격자는 사용자가 아무것도 클릭할 필요성을 없애기 위해 참조 방식의 이미지 마크다운을 사용합니다. 브라우저는 공격자가 제어하는 서버에서 이미지를 "로드"하려고 시도하며, 이는 사용자 상호 작용 없이 자동으로 데이터 유출을 유발합니다.
4. SharePoint를 사용한 CSP 우회
대부분의 외부 도메인이 Microsoft의 콘텐츠 보안 정책(CSP)에 의해 차단되어 있기 때문에, 연구진은 SharePoint 및 Microsoft Teams와 같은 정식 Microsoft 서비스를 통해 취약점 공격을 실행했습니다. 이를 통해 공격자는 사용자 상호작용, 탐지 또는 추가 접근 권한 없이도 민감한 Copilot 컨텍스트 데이터를 은밀하게 유출할 수 있었습니다.
기술적인 메커니즘을 넘어, 이 공격은 Aim Labs가 "RAG Spraying"이라고 부르는 전략에 달려 있습니다. 공격자는 긴 이메일을 여러 조각으로 나누어 시스템에 보내거나, 사용자의 질의에 맞춰 작성된 여러 이메일을 시스템에 보내 공격 성공률을 높입니다.
Copilot이 악성 콘텐츠를 검색하면, 자신도 모르게 공격자의 지시에 따라 내부 컨텍스트에서 가장 민감한 데이터를 추출하여 공격자의 도메인으로 전송합니다. 이 모든 과정은 사용자 인식 없이 진행됩니다.
이러한 악용 사례는 AI 비서가 내부 데이터와 상호 작용하고 사용자 입력을 해석하는 방식에 존재하는 중대한 설계 결함을 드러냅니다.
Microsoft의 대응
마이크로소프트는 CVSS 점수 9.3점을 받은 치명적인 제로클릭 취약점에 CVE-2025-32711을 할당하고, 2025년 5월에 서버 측 패치를 적용하여 사용자 개입 없이도 해당 취약점을 해결할 수 있도록 했습니다. 마이크로소프트는 또한 실제 악용 사례가 없으며, 영향을 받은 고객도 없다고 밝혔습니다.
에코리크(EchoLeak) 취약점을 고려하여 사용자와 조직은 잠재적 위험을 완화하기 위해 몇 가지 사전 조치를 취하는 것이 좋습니다.
여기에는 신뢰할 수 없는 데이터 소스를 제한하기 위해 Copilot에서 외부 이메일 컨텍스트를 비활성화하고, 수신 이메일에서 프롬프트를 검토하고, 방화벽 수준에서 AI 전용 런타임 가드레일을 구현하여 비정상적인 동작을 모니터링하고 차단하고, 링크와 이미지를 통한 데이터 유출을 방지하기 위해 AI 출력에서 마크다운 렌더링을 제한하는 것이 포함됩니다.
*참고한 원본 글: https://www.techworm.net/2025/06/microsoft-365-copilot-data-exposed.html
댓글