마이크로소프트 코파일럿 보안 결함: 기밀 이메일 및 민감 데이터 무단 노출 사고

트렌드 키워드

• 데이터 손실 방지 (Data Loss Prevention, DLP):

  기업이나 조직 내부의 민감한 정보가 외부로 유출되거나 권한이 없는 사용자에게 노출되지 않도록 감시하고 차단하는 보안 기술이자 전략. 주로 이메일, 클라우드 저장소, 엔드포인트 기기에서 데이터 흐름을 추적하며 기밀 문서를 식별하고 보호하는 역할을 수행함

  “코파일럿 챗은 민감도 레이블이 적용되고 데이터 손실 방지 정책이 구성되어 있음에도 불구하고 이메일 메시지를 요약하는 오류를 범하고 있습니다.”
• 민감도 레이블 (Sensitivity Labels):

  문서나 이메일에 기밀성 수준을 지정하여 접근 권한을 관리하고 암호화하거나 자동화된 도구의 처리를 제한하는 분류 체계. 조직의 보안 정책에 따라 '일반', '기밀', '대외비' 등으로 설정되며, 인공지능 비서와 같은 도구가 데이터를 읽을 수 있는지 여부를 결정하는 핵심 기준이 됨

  “코드 오류로 인해 기밀 레이블이 설정되어 있음에도 불구하고 보낸 편지함과 임시 보관함의 항목을 코파일럿이 가져갈 수 있게 되었습니다.민감도 레이블”
• 바이브코딩 (Vibecoding):

  <

  엄격한 논리적 설계나 철저한 품질 검증 과정을 거치기보다 개발자의 직관이나 당시의 흐름, 혹은 인공지능의 보조를 받아 빠르게 소프트웨어를 개발하고 출시하는 행태를 비꼬는 신조어. 최근 인공지능 기능 경쟁이 치열해지면서 충분한 테스트 없이 기능을 배포하는 빅테크 기업들의 문화를 비판할 때 사용됨

  >

  1 / 2

  “이러한 버그는 마이크로소프트가 소프트웨어를 제대로 테스트하지 않고 분위기에 맞춰 코딩했을 가능성에 대한 경고를 다시 한번 불러일으키고 있습니다.바이브코딩”
• 생성 시점 필터링 (Generation-time Filtering):

  인공지능이 데이터를 검색하여 답변을 생성하는 과정에서, 이미 데이터를 다 읽은 후에 답변을 내보낼지 말지를 결정하는 사후 보안 방식. 데이터가 인공지능 모델의 맥락에 들어가는 단계에서 차단하는 것이 아니기 때문에 보안상 취약할 수 있으며, 이번 사고의 근본적인 설계 결함으로 지목됨

  “데이터 손실 방지 레이블 방식은 검색 단계가 아닌 생성 시점의 필터를 사용하여 문제를 해결하려 하며, 이는 인공지능이 이미 읽은 내용을 잊게 만드는 오류를 지속적으로 발생시킬 것입니다.생성 시점 필터링”
• 클라우드 강제 업로드 (Cloud Forced Upload):

  로컬 기기에 저장된 파일을 열람할 때 사용자의 명시적 동의 없이 클라우드 저장소로 먼저 전송한 뒤 인공지능 분석을 거치게 하는 소프트웨어 작동 방식. 이는 오프라인 작업의 이점을 없애고 사용자의 데이터 주권을 침해하며, 보안이 중요한 기업 환경에서 심각한 위험 요소로 작용함

  “안드로이드 및 아이폰용 마이크로소프트 365 앱은 이제 로컬 문서를 직접 열지 않고 코파일럿 분석을 위해 무조건 원드라이브에 파일을 먼저 업로드합니다.클라우드 강제 업로드”