“이메일 한 통에 뚫렸다”…MS 코파일럿 사태, LLM 보안 ‘구조적 한계’ 드러냈다 작성일 04-29 17 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">CVE·CVSS ‘치명적’ 등급<br>제로클릭 공격 현실화<br>“직접 막아도 우회하면 뚫린다”<br>멀티모달 확산에 공격 표면 급증</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4iPbAdlwmr"> <p contents-hash="b4487e9f05f88aa7f22b43c820544c6155e473a23f2f66f5ccf0d6848ecf65d2" dmcf-pid="8nQKcJSrmw" dmcf-ptype="general"> [이데일리 김현아 기자] 지난해 상반기 마이크로소프트의 AI 비서 ‘코파일럿(Copilot)’에서 발생한 보안 취약점은 인공지능 업계 전반에 경고음을 울렸다. 단순한 이메일 한 통이 내부 정보 유출로 이어지며, 대형언어모델(LLM)의 구조적 한계가 실제 서비스 환경에서 확인됐기 때문이다.</p> <p contents-hash="6c5f2ef6bdd55e5093c7dafb8c9513b7cdfb0b2c3bb78e7d3a24922d7a6888df" dmcf-pid="6Lx9kivmrD" dmcf-ptype="general">해당 취약점은 CVE 2025 32711(CVE·공개된 보안 취약점에 부여되는 식별번호 체계, MITRE가 중심이 돼 관리)로 등록됐으며, 심각도는 CVSS(CVSS·취약점 위험도를 0~10점으로 평가하는 국제 기준) 9점 이상으로 평가됐다. </p> <p contents-hash="a63605234be397a09443171c74a1eea30a3f27830ed486efc321aaf6ec7bef0a" dmcf-pid="PoM2EnTsOE" dmcf-ptype="general">이는 즉각 대응이 필요한 ‘치명적’ 수준이다. MS는 이후 패치를 진행했지만, 사용자 개입 없이도 공격이 실행되는 제로클릭(사용자 클릭 없이 자동 실행되는 공격) 가능성을 드러내며 파장을 낳았다.</p> <p contents-hash="ab2c5a56b8f71a2d1deadc17066f8537e4c9d6d478116f9e70c31381116132a8" dmcf-pid="QgRVDLyOIk" dmcf-ptype="general">이 사건은 “AI가 이메일을 읽는 순간 공격도 함께 실행될 수 있다”는 점을 보여준 대표 사례로 평가된다. 특히 LLM이 메일·문서·업무 시스템과 결합되는 순간 보안 리스크가 현실화될 수 있음을 입증했다.</p> <figure class="figure_frm origin_fig" contents-hash="208e619df6f4a595152e0aa791aa1af7d05a9b1b3b90be9664a599afc7d4bd4c" dmcf-pid="xaefwoWIwc" dmcf-ptype="figure"> <p class="link_figure"><img alt="MS 코파일럿 취약점(CVE 2025 32711)의 공격 흐름을 보여준다. 공격자가 이메일에 숨겨진 명령(히든 프롬프트 인젝션)을 삽입해 보낸 뒤, 코파일럿이 이를 분석하는 과정에서 해당 명령을 단순 정보가 아닌 실행 지시로 오인한다. 그 결과 코파일럿은 조직 내부 데이터(Organizational Data)에 접근하고, 이를 공격자에게 전달하는 데이터 유출(Data Exfiltration)로 이어진다.출처=샌즈랩 김기용 대표" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/29/Edaily/20260429143535976mpwk.jpg" data-org-width="465" dmcf-mid="2pBhbFRfDO" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/29/Edaily/20260429143535976mpwk.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> MS 코파일럿 취약점(CVE 2025 32711)의 공격 흐름을 보여준다. 공격자가 이메일에 숨겨진 명령(히든 프롬프트 인젝션)을 삽입해 보낸 뒤, 코파일럿이 이를 분석하는 과정에서 해당 명령을 단순 정보가 아닌 실행 지시로 오인한다. 그 결과 코파일럿은 조직 내부 데이터(Organizational Data)에 접근하고, 이를 공격자에게 전달하는 데이터 유출(Data Exfiltration)로 이어진다.출처=샌즈랩 김기용 대표 </figcaption> </figure> <div contents-hash="4114983c37dfa2ab448b7909049438ec871aca3e2be4e7bb926461a83e961161" dmcf-pid="y3GCBtMVsA" dmcf-ptype="general"> <strong>2025년 발견된 제로클릭 공격…“메일만 봐도 실행됐다”</strong> </div> <p contents-hash="85741378515b6211dd703551f5f76577adb0cb29f619ea6834de8873479f16ba" dmcf-pid="W2uZxKjJrj" dmcf-ptype="general">이번 취약점은 2025년 상반기 보안 연구자들에 의해 발견됐다. 핵심은 프롬프트 인젝션(prompt injection·입력 문장 속에 숨겨진 명령을 AI가 실행하도록 유도하는 공격)이다.</p> <p contents-hash="c316e0b42e7cb3f16c5fcfe9e29f9619d2e9a89dc74b09ff870e3f98c884c02a" dmcf-pid="YV75M9AirN" dmcf-ptype="general">공격자는 일반적인 업무 메일처럼 보이는 이메일 본문에 악성 지시를 삽입했다. 사용자가 메일을 열거나, 코파일럿이 이를 자동으로 요약·분석하는 과정에서 해당 명령이 실행됐다. 별도의 다운로드나 클릭 없이 AI가 스스로 공격을 수행하는 구조였다.</p> <p contents-hash="d62e90fbb936dd96dc7920104e322c1dc930435a844454b947b842d6c3033363" dmcf-pid="Gfz1R2cnOa" dmcf-ptype="general">공격 흐름은 단순하지만 결과는 치명적이었다. AI는 이메일 내용을 ‘읽을 정보’가 아닌 ‘실행할 명령’으로 오인했고, 내부 시스템에 접근해 조직 데이터를 조회한 뒤 이를 외부로 전송하거나 가공해 전달했다.</p> <p contents-hash="482e9ac10a24b9bf43a3145baf77f14c7d3a193cd16b2899f86f092f6d86c637" dmcf-pid="H4qteVkLmg" dmcf-ptype="general">공격은 이메일 → AI 처리 → 내부 데이터 접근 → 외부 유출이라는 구조로 이어졌다.</p> <p contents-hash="2f45b77a8df69db161e071aa939d48803077eb54ec6e29e5f0a541fc3e202413" dmcf-pid="X8BFdfEoro" dmcf-ptype="general">사용자는 단순히 메일을 확인했을 뿐이지만, AI가 대신 내부 정보를 유출하는 결과가 발생했다.</p> <p contents-hash="42760607177414c343e624a4fc244629b346f546c70d0917ffb61b5721f20894" dmcf-pid="Z6b3J4DgDL" dmcf-ptype="general"><strong>LLM의 근본 한계…“데이터와 명령을 구분 못 한다”</strong></p> <p contents-hash="86b2c9fdf605418dc788652bb0903c037e091b2408bf91ea8b3661eb01d66590" dmcf-pid="5PK0i8waIn" dmcf-ptype="general">이번 사건은 LLM의 구조적 취약점을 드러냈다. LLM은 입력된 문장을 ‘데이터’와 ‘명령’으로 명확히 구분하지 못한다.</p> <p contents-hash="321eba5ac949fa00b3e7bb55d7869302e4744a0f43357bafb3fa99a391398e8d" dmcf-pid="1XSwpG4qDi" dmcf-ptype="general">이 때문에 이메일, 문서, 웹페이지 속 문장이 그대로 실행 지시로 해석될 수 있으며, 별도의 악성 코드 없이도 콘텐츠 자체가 공격 수단이 된다. 기존 보안 체계로는 탐지하기 어려운 새로운 위협이라는 지적이 나온다.</p> <p contents-hash="34c25d372f81eebe6290d251528fd557170a79ac3bbaa80dfc23065eb60f0c3d" dmcf-pid="tZvrUH8BwJ" dmcf-ptype="general">샌즈랩 김기용 대표는 최근 열린 한국정보보호학회 주최 ‘NetSec-KR 2026’ 세미나에서 “현재 운영 중인 AI 시스템의 70% 이상이 프롬프트 인젝션 취약점을 안고 있다”며 “AI가 직접 공격을 설계할 경우 성공률이 97%에 달한다”고 밝혔다.</p> <figure class="figure_frm origin_fig" contents-hash="7b3a6f23f5019810cdb810fddee2b09bd5ccf72460e022f19f9b33c4a70d8741" dmcf-pid="F5TmuX6brd" dmcf-ptype="figure"> <p class="link_figure"><img alt="출처=김기용 샌즈랩 대표" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/29/Edaily/20260429143537401jhmj.jpg" data-org-width="670" dmcf-mid="V5SwpG4qrs" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/29/Edaily/20260429143537401jhmj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 출처=김기용 샌즈랩 대표 </figcaption> </figure> <div contents-hash="5bb4218d3f6ccee5c13fd606d5783572fc650877d7b44c5095d28c6d77d4a8ea" dmcf-pid="31ys7ZPKse" dmcf-ptype="general"> <strong>“직접 막아도, 우회하면 뚫린다”…크로스모달 공격 확산</strong> </div> <p contents-hash="5c8c6a607daff8c67422368187c9636614fc9e79f64ebd1b3f70b1e5a7281abd" dmcf-pid="0tWOz5Q9ER" dmcf-ptype="general">AI 보안의 또 다른 특징은 우회 공격에 취약하다는 점이다. 위험한 요청은 차단되지만, 공격자는 질문 방식을 바꿔 이를 우회한다.</p> <p contents-hash="49288ef8c31d76200fbc4098fe3cd534385bb47567fffb6abaa80fe86f8b9607" dmcf-pid="pFYIq1x2mM" dmcf-ptype="general">이미지나 상황을 제시한 뒤 “이야기를 만들어달라”거나 “특정 역할로 분석해달라”고 요청하면 AI는 이를 정상 작업으로 인식한다. 이 과정에서 원래 차단됐어야 할 정보까지 생성되는 사례가 발생한다.</p> <p contents-hash="d33f81beaea29d908bab23591f282e1751e8bf97e4cb5860a0269c793416960f" dmcf-pid="U3GCBtMVwx" dmcf-ptype="general">이는 크로스모달 공격(cross modal attack·텍스트·이미지 등 여러 입력을 결합해 우회하는 공격)으로, 각각의 요소는 정상처럼 보이지만 결합되면 공격이 되는 구조다. 김 대표는 “각각의 입력은 정상으로 판단되지만 결합되는 순간 보안 장치를 우회한다”며 “기존 필터 체계로는 탐지가 어렵다”고 설명했다.</p> <p contents-hash="6861624d569e22daa6dadbacbcc6973f393bd0a5cc44d33ce2f8979475a8ec44" dmcf-pid="u0HhbFRfwQ" dmcf-ptype="general"><strong><span bold="bold;”">멀티모달 확산…이미지·음성까지 ‘공격통로’로</span></strong></p> <p contents-hash="7adb43a2dc291f65a32fa62e0b6ddcf94d32eaa42bba1c3fc8210efa1d522e27" dmcf-pid="7UZS90d8rP" dmcf-ptype="general">문제는 이러한 취약점이 멀티모달(multimodal·텍스트·이미지·음성 등을 동시에 처리하는 AI) 환경에서 더욱 확대된다는 점이다.</p> <p contents-hash="a6dff89811d9470bdab992778f5599ce9bf2c94200935534c1be75e373ef05cb" dmcf-pid="zu5v2pJ6O6" dmcf-ptype="general">공격자는 이미지 픽셀에 명령을 숨기거나, 사람이 들을 수 없는 음성 신호에 지시를 삽입하는 방식으로 AI를 조작할 수 있다. 이러한 공격은 인간이 인지하기 어렵고 기존 보안 필터로는 탐지가 쉽지 않다.</p> <p contents-hash="02c5f3888aa76105778f28d447462a4391380ff5f86a5c3b1af6b7bcc6f2e811" dmcf-pid="q71TVUiPs8" dmcf-ptype="general">김 대표는 “과거에는 텍스트만 방어하면 됐지만 이제는 여러 모달 중 가장 취약한 지점을 통해 공격이 이뤄진다”며 “공격 경로가 기하급수적으로 증가하고 있다”고 지적했다.</p> <figure class="figure_frm origin_fig" contents-hash="14737f86d5914e0a70ecf46f9304401ac9d264469b22bf26a02bc67ba8166797" dmcf-pid="BztyfunQs4" dmcf-ptype="figure"> <p class="link_figure"><img alt="출처=샌즈랩 김기용 대표" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/29/Edaily/20260429143538649xbfh.jpg" data-org-width="670" dmcf-mid="fUlD0Yfzsm" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/29/Edaily/20260429143538649xbfh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 출처=샌즈랩 김기용 대표 </figcaption> </figure> <div contents-hash="77e21b9b8b56250f2918e6d81168d3829ff5f2db8485d53ca38868234026ad75" dmcf-pid="bqFW47LxIf" dmcf-ptype="general"> <strong>AI가 AI를 공격…성공률 90% 이상 자동화 공격 등장</strong> </div> <p contents-hash="f1cd182a674ed198d8bbd6e452778535d644ae85e08754f9684f29656ae9240e" dmcf-pid="KB3Y8zoMDV" dmcf-ptype="general">공격 방식도 빠르게 진화하고 있다. 최근에는 AI가 스스로 취약점을 탐색하고 공격 전략을 학습하는 ‘폴리 제일브레이크(Poly Jailbreak)’ 기법이 등장했다. 일부 모델에서는 95% 수준의 성공률을 기록하고 있다.</p> <p contents-hash="07c613854d30c8a23525fe0db775e51220ba3719709cb432fb2ffebf2da0b651" dmcf-pid="9b0G6qgRs2" dmcf-ptype="general">자동화된 공격 도구 역시 90~99% 수준의 높은 성공률을 보이며, 보안 체계를 갖춘 환경에서도 50% 이상의 공격 성공 사례가 확인됐다. 이는 공격과 방어 간 비대칭이 심화되고 있음을 보여준다.</p> <p contents-hash="89103aa40c0f5ab904c54a573c7128fb507927d568d9fbacbf0cf4f2a9723f5e" dmcf-pid="2KpHPBaeD9" dmcf-ptype="general"><strong>“방어는 뒤처졌다”…통합 보안 체계로 전환 필요</strong></p> <p contents-hash="36cd4c6ebe540b01982f4cd54f3afe374f8c7d8197d8df1484282b31f634b12b" dmcf-pid="V9UXQbNdmK" dmcf-ptype="general">전문가들은 기존 텍스트 중심 보안 체계로는 이러한 위협을 막기 어렵다고 입을 모은다.</p> <p contents-hash="019c2950389a5bac4c4be5d3dce738ab1ff97cac9275d0a6a0320fca96e1c284" dmcf-pid="f4qteVkLIb" dmcf-ptype="general">김 대표는 “이미지 필터는 아직 부족하고, 오디오 필터는 사실상 부재한 수준”이라며 “모달별로 분리된 방어 체계로는 복합 공격을 막기 어렵다”고 지적했다.</p> <p contents-hash="08381ef49fcb5659c38a5b0a2a65db99e7b6acd3d4bd65e86ea9c28622dbdfba" dmcf-pid="48BFdfEosB" dmcf-ptype="general">대응 방안으로는 ▲멀티모달 통합 보안 체계 구축 ▲AI 기반 레드팀 자동화 ▲퍼플팀(공격·방어 통합 운영) 도입 ▲AI 모델 및 데이터 사용 이력 관리 등이 제시됐다.</p> <p contents-hash="ec14381613984198e3898b25c9e02c7612c8ba9fb147304015e861f27461a8d9" dmcf-pid="86b3J4DgDq" dmcf-ptype="general">그는 “오픈AI가 올해 2월 밝혔듯이 ‘프롬프트 인젝션은 완전 패치가 어려울 수 있다”면서 “우리가 어떤 AI모델을 쓰는지 명세서가 필요하며 양자로 뭉개서 공격을 무해화한다든지 하는 단일 방어가 아닌 복합적이고 지속적인 대응 체계가 필요하다”고 강조했다.</p> <p contents-hash="8b068c5c66cee7966c314bafc66b637a9f1c2b2bba0ece859cb9aeb6d3266005" dmcf-pid="6PK0i8waDz" dmcf-ptype="general">업계에서는 이번 사례를 두고 “LLM이 메일·문서·업무 시스템과 연결되는 순간 보안 리스크가 현실화됐다”는 평가가 나온다.</p> <p contents-hash="11084ac8764fa50c8def252176ea058c38ed30571c426aa1011b0028f635614d" dmcf-pid="PQ9pn6rNm7" dmcf-ptype="general">이처럼 멀티모달 AI 확산은 기업의 생산성을 높이는 동시에 새로운 공격 경로를 여는 ’양날의 검‘이 되고 있다. AI 시대에서 보안은 더 이상 부가 요소가 아니라, 서비스의 신뢰성과 경쟁력을 좌우하는 핵심 요소로 자리 잡았다는 분석이다.</p> <p contents-hash="29fb5a8b2f8307a689d85e1b56fa7b24ce81cdedb00aeb2567d9b869835611d8" dmcf-pid="Qx2ULPmjOu" dmcf-ptype="general">김현아 (chaos@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 "AI 사업 올바른 대가 산정 기준없다"… ITSA, 제도 개선 팔 걷는다 04-29 다음 [현장] 이관우 버즈빌 대표 “제로클릭 시대, 광고의 진짜 전장은 노출 이후”… 대응법은 ‘인터랙션 AI 에이전트’ 04-29 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
