구글 시트 ChatGPT, 데이터 유출 및 피싱 공격에 취약

본문에서는 신뢰할 수 없는 외부 데이터 소스가 ChatGPT for Google Sheets를 조작하여 공격자가 제어하는 외부 스크립트를 실행시키는 공격 체인을 상세히 설명합니다. 특히, '자동 편집 적용(Apply edits automatically)' 설정이 비활성화된 상태에서도 공격이 성공한다는 점은 사용자 승인 메커니즘의 허점을 드러냅니다. 공격자는 이를 통해 다수의 워크북을 유출(Exfiltrate Multiple Workbooks)하고 피싱 공격까지 감행할 수 있습니다.

커뮤니티에서는 LLM 기반 도구가 클라우드에 상주하더라도, 모든 도구는 로컬(Local) 및 컨테이너화(Containerized)되어야 한다는 의견이 지배적입니다. 현재 방식은 데이터 유출(Data Exfiltration)이라는 근본적인 문제를 해결하지 못하며, 신뢰할 수 없는 외부 스크립트 실행 권한 부여는 심각한 보안 위험을 초래한다고 지적합니다. 이는 데이터 미저장 정책(Zero-Retention Policy) 부재와 맞물려 기업 환경에서의 도입을 더욱 어렵게 만듭니다.

보안 연구팀 PromptArmor는 OpenAI에 취약점을 책임감 있게 공개했으나, 초기 자동 응답 외에는 소통 부재를 겪었다고 지적합니다. OpenAI 측은 뒤늦게 Apps Script 코드 생성 기능 제거라는 즉각적인 조치를 취했으나, 이는 근본적인 샌드박싱 접근 방식(Sandboxing Approach) 재검토 및 유사 기능 전반에 대한 보안 강화 필요성을 시사합니다. 커뮤니티에서는 이러한 대응 과정에 대한 비판적인 시각도 존재합니다.

많은 기업에서 데이터 유출(Data Exfiltration)은 AI 에이전트 도입의 가장 큰 걸림돌로 작용합니다. 가시성(Visibility)이 부족한 외부 소프트웨어에 민감 데이터를 제공하는 것에 대한 우려가 크며, 네트워크 수준에서 아웃바운드 트래픽(Egress Traffic)을 차단하면 에이전트의 유용성 자체가 저해되는 딜레마에 빠집니다. 이는 AI를 기밀 인프라에 통합할 때 적절한 애플리케이션 계층(Application Layer)의 중요성을 강조합니다.

한 사용자는 매크로 바이러스가 처음 등장했을 때와 현재 LLM의 프롬프트 인젝션(Prompt Injection) 취약점이 유사하다고 지적합니다. 과거 매크로가 기본적으로 비활성화되었듯, LLM 기반 도구 역시 보안 위험 비용을 고려하여 신중하게 접근해야 한다는 것입니다. 이는 AI 기술의 발전 속도에 비해 보안 인식 및 대응 체계가 뒤처지고 있음을 시사합니다.