최근 마이크로소프트(Microsoft)는 자사의 Office 소프트웨어에서 발견된 보안 취약점으로 인해 일부 비즈니스 고객의 기밀 이메일 데이터가 자사의 생성형 AI 서비스인 Copilot에 예기치 않게 노출되었다고 공식 발표했습니다.

보안 사고의 핵심 내용

TechCrunch의 보도에 따르면, 이번 문제는 마이크로소프트 365(M365) 환경 내에서 데이터 권한을 관리하는 과정 중 발생한 기술적 오류에서 비롯되었습니다.

• 노출 원인: 특정 조건에서 Office 앱의 캐시 처리 버그로 인해 민감한 이메일 내용이 AI 인덱싱 시스템에 포함됨.
• 영향 범위: 주로 기업용(Enterprise) 고객 중 일부가 영향을 받았으며, 개인 사용자보다는 조직 내 데이터 가시성 문제가 핵심.
• 위험 요소: 권한이 없는 내부 직원이 Copilot에게 질문을 던졌을 때, 접근 권한이 없어야 할 상사나 동료의 기밀 이메일 내용이 답변에 포함될 수 있음.

마이크로소프트의 대응 조치

마이크로소프트는 해당 버그를 인지한 즉시 패치를 배포했으며, 영향을 받은 고객들에게 개별 통지를 진행하고 있다고 밝혔습니다.

“우리는 데이터 프라이버시를 최우선으로 생각하며, 이번 이슈로 인한 데이터 오남용 사례는 아직 확인되지 않았습니다. 현재는 모든 취약점이 보완된 상태입니다.” – 마이크로소프트 대변인

기업을 위한 보안 권고 사항

AI 도입이 가속화됨에 따라 기업 내 데이터 거버넌스 설정은 그 어느 때보다 중요해졌습니다. 이번 사건을 계기로 보안 전문가들은 다음과 같은 조치를 권고합니다.

1. 데이터 권한 재점검: SharePoint 및 OneDrive의 공유 권한이 올바르게 설정되어 있는지 확인하십시오.
2. 민감도 라벨링: Microsoft Purview 등을 사용하여 기밀 문서에 적절한 보안 라벨을 부여하세요.
3. 최신 업데이트 유지: Office 앱과 Windows 보안 패치를 최신 상태로 유지하여 알려진 버그를 차단하십시오.