Microsoft 365 Copilot의 데이터 노출 – 제로 클릭 취약점에 의해 타격

Aim Security의 보안 연구원들은 Microsoft 365 Copilot에서 공격자가 사용자와의 상호작용, 링크 클릭 또는 다운로드 없이 악의적으로 조작된 이메일을 보내기만 해도 민감한 기업 데이터를 조용히 유출할 수 있는 첫 번째 제로 클릭 인공지능(AI) 취약점인 “EchoLeak”를 발견했습니다.

“이 취약점은 공격자가 Microsoft 365 Copilot의 컨텍스트에서 가장 민감한 정보를 자동으로 유출할 수 있는 방법을 보여주기 때문에 AI 보안 연구에서 중요한 돌파구를 나타냅니다. 사용자 상호작용이 전혀 필요하지 않습니다,”라고 Aim Security의 공동 창립자이자 CTO인 Adir Gruss가 제로 클릭 공격을 설명하며 말했습니다.

EchoLeak이란 무엇인가?

2025년 1월에 발견되고 Microsoft의 MSRC 팀이 5월에 수정한 후 공개된 EchoLeak은 공격자가 사용자의 연결된 Microsoft 365 환경에서 Outlook 이메일, OneDrive 파일, Office 문서, SharePoint 콘텐츠 및 Teams 채팅 기록과 같은 민감한 정보를 악의적으로 조작된 이메일을 보내기만 해도 유출할 수 있게 했습니다. 이 이메일은 여러 보안 보호 장치를 우회하고 Copilot이 비공식적으로 유지할 내부 데이터를 유출하도록 트리거합니다.

더욱 우려스러운 점은 공격자가 조직의 직원일 필요가 없다는 것입니다. 외부 발신자 누구나 공격을 시작할 수 있습니다.

수요일에 Aim Labs 팀은 블로그 게시물에서 EchoLeak이 “대형 언어 모델(LLM) 범위 위반“이라고 설명한 개념을 악용했다고 썼습니다. 이 경우, 악의적인 행위자는 마크다운 형식을 사용하여 숨겨진 프롬프트가 포함된 무해해 보이는 이메일을 보냅니다.

사용자가 나중에 Copilot에게 관련 질문을 하면 AI는 그 컨텍스트에서 이메일을 검색하고 무의식적으로 내장된 지침을 실행하여 문서, 이메일 또는 채팅과 같은 내부 출처에서 민감한 데이터를 추출합니다.

그런 다음 공격자의 프롬프트는 Copilot에게 추출된 데이터를 이미지나 링크에 포함하도록 지시합니다. 이로 인해 브라우저는 리소스를 자동으로 가져오게 되며, 종종 SharePoint나 Teams와 같은 신뢰할 수 있는 Microsoft 도메인을 통해 민감한 정보가 공격자가 제어하는 서버로 즉시 전송되며, 사용자는 이를 전혀 인지하지 못합니다.

EchoLeak 공격 체인의 작동 방식

공격 체인은 네 단계로 작동합니다:

1. XPIA 우회

Microsoft는 XPIA(교차 프롬프트 주입 공격)라는 시스템을 사용하여 의심스러운 프롬프트가 M365 Copilot의 기본 LLM에 도달하는 것을 감지하고 차단합니다. 그러나 Aim Security는 프롬프트 주입 공격이 AI/도우미/Copilot과 같은 단어를 완전히 피함으로써 이메일 수신자에게 캐주얼한 안내로 표현되면 XPIA 분류기를 쉽게 우회할 수 있음을 발견했습니다.

2. 링크 삭제 우회

일반적으로 Copilot은 사용자가 링크를 클릭할 기회를 가지기 전에 채팅 기록에서 외부 마크다운 링크를 삭제합니다.

그러나 참조 스타일의 마크다운 링크와 같은 트릭을 사용하여 공격자는 Copilot의 삭제 필터를 피하고 M365 Copilot에 의해 채팅에서 제거되지 않습니다. 이러한 링크는 이후 LLM 출력에서 조용히 유출됩니다.

3. 이미지 삭제 우회
사용자가 아무것도 클릭할 필요가 없도록 공격자는 참조 스타일의 이미지 마크다운을 사용합니다. 브라우저는 공격자가 제어하는 서버에서 이미지를 “로드”하려고 시도하며, 이로 인해 사용자 상호작용 없이 자동으로 데이터 유출이 발생합니다.

4. SharePoint를 이용한 CSP 우회

대부분의 외부 도메인은 Microsoft의 콘텐츠 보안 정책(CSP)에 의해 차단되므로, 연구원들은 SharePoint 및 Microsoft Teams와 같은 승인된 Microsoft 서비스를 통해 그들의 악용을 우회했습니다. 이를 통해 공격자는 사용자 상호작용, 탐지 또는 추가 접근 권한 없이 민감한 Copilot 컨텍스트 데이터를 조용히 유출할 수 있었습니다.

기술적 메커니즘을 넘어, 이 악용은 Aim Labs가 “RAG 스프레이”라고 부르는 전술에 의존하며, 공격자는 긴 이메일을 조각으로 나누거나 여러 이메일을 작성하여 시스템을 홍수처럼 채워 성공률을 높입니다.

Copilot이 악의적인 콘텐츠를 검색하면, 무의식적으로 공격자의 지침을 따라 내부 컨텍스트에서 가장 민감한 데이터를 추출하여 공격자의 도메인으로 전송합니다. 이 모든 과정은 사용자에게 인식되지 않습니다.
이 악용 체인은 AI 도우미가 내부 데이터와 상호작용하고 사용자 입력을 해석하는 방식에서 중요한 설계 결함을 강조합니다.

Microsoft의 대응

Microsoft는 CVSS 점수 9.3의 중요한 제로 클릭 결함에 CVE-2025-32711을 할당하고 2025년 5월에 서버 측 수정 사항을 적용했습니다. 이는 사용자 개입이 필요하지 않음을 의미합니다. 레드몬드의 거대 기업은 또한 실제 세계에서의 악용 증거가 없으며 영향을 받은 고객이 없다고 언급했습니다.

EchoLeak 취약점을 고려할 때, 사용자와 조직은 잠재적 위험을 완화하기 위해 여러 사전 조치를 취할 것을 권장합니다. 여기에는 신뢰할 수 없는 데이터 소스를 제한하기 위해 Copilot에서 외부 이메일 컨텍스트를 비활성화하고, 프롬프트에 대한 수신 이메일을 검토하며, 방화벽 수준에서 비정상적인 행동을 모니터링하고 차단하기 위한 AI 전용 런타임 가드레일을 구현하고, 링크 및 이미지를 통한 데이터 유출을 방지하기 위해 AI 출력에서 마크다운 렌더링을 제한하는 것이 포함됩니다.