기술/연구

“클릭 한 번 없이 다 털린다?” MS 코파일럿, 이메일 하나에 기업 정보 ‘와르르’

댓글 0 · 저장 0 · 편집: 이도윤 기자 발행: 2025.06.14 00:40

기사 3줄 요약

1 MS 365 코파일럿 ‘에코리크’ 제로클릭 보안 취약점 발견
2 악성 이메일 수신만으로 사용자 모르게 회사 중요 정보 유출
3 MS, 긴급 보안 패치 완료, 실제 피해 사례는 아직 없어

우리가 매일 쓰는 업무용 AI 비서가 자신도 모르는 사이에 회사 기밀 정보를 빼돌리는 통로가 될 수 있다는 사실이 드러났습니다. 최근 마이크로소프트(MS)의 대표적인 업무용 AI 서비스 ‘MS 365 코파일럿’에서 사용자가 아무것도 클릭하지 않아도 중요한 데이터가 유출될 수 있는 심각한 보안 허점이 발견되어 업계에 큰 파장을 일으키고 있습니다. 이메일 한 통에 기업의 운명이 좌우될 수도 있는 이 위험천만한 상황은 AI 시대의 어두운 단면을 보여줍니다.

에코리크, 그게 뭔데?

이번에 발견된 보안 취약점의 이름은 ‘에코리크(EchoLeak)’입니다. 보안 연구소 ‘에임 시큐리티 랩스(Aim Security Labs)’가 찾아낸 이 허점은 정말 교묘합니다. 공격자는 마치 일반 업무 메일처럼 위장한 악성 이메일을 특정 대상에게 보내기만 하면 됩니다. 이메일을 받은 사람이 특별한 행동을 하지 않아도, 코파일럿 AI가 이메일 속 숨겨진 악성 명령을 읽고 스스로 중요 정보를 외부로 빼돌리게 됩니다. 사용자는 이런 일이 벌어지고 있다는 사실조차 전혀 눈치챌 수 없습니다.

MS는 뭐래? 발등에 불 떨어진 거 아냐?

다행히 이 ‘에코리크’ 취약점은 아직 실제 해킹 공격에 악용된 사례는 없는 것으로 파악됐습니다. 마이크로소프트는 이 문제를 심각하게 받아들이고, ‘CVE-2025-32711’이라는 공식 관리 번호를 부여하며 긴급 보안 업데이트로 해당 허점을 막았습니다. 전문가들은 이번 취약점이 코파일럿과 같은 AI가 정보를 찾고 답변을 만드는 과정, 즉 ‘정보 검색 증강 생성(RAG)’ 방식의 설계상 허점에서 비롯된 것으로 분석하고 있습니다. AI가 편리한 만큼, 이런 예상치 못한 보안 위협도 함께 따라올 수 있다는 점을 보여줍니다.

그래서, 우리는 뭘 조심해야 해?

이번 사건은 AI를 사용하는 모든 개인과 기업에게 중요한 경고 메시지를 던집니다. AI 비서가 업무 효율을 크게 높여주는 것은 분명하지만, 동시에 새로운 보안 위험을 만들 수도 있다는 사실을 잊지 말아야 합니다. 가장 기본적인 대응은 사용하는 소프트웨어를 항상 최신 상태로 업데이트하고, 출처가 불분명한 이메일이나 파일은 함부로 열어보지 않는 것입니다. 또한, 기업들은 AI 시스템 도입 시 보안 점검을 더욱 철저히 하고, 중요한 정보 접근 권한을 최소화하는 등의 노력이 필요합니다.

결론

AI 기술의 발전은 우리에게 엄청난 편리함을 가져다주지만, 그 이면에는 늘 새로운 보안 위협이 도사리고 있습니다. 이번 ‘에코리크’ 사건처럼 예상치 못한 공격은 언제든 발생할 수 있습니다. AI 시대를 살아가는 우리는 기술의 혜택을 누리는 동시에, 스스로를 보호하기 위한 보안 의식을 높이고 지속적인 대비를 해야 할 것입니다. 편리함 뒤에 숨은 위험을 경계하고, 안전한 AI 활용 환경을 만들어가는 것이 중요합니다.

편집자: 이도윤 기자

제보·문의: aipick@aipick.kr