Copilot Cowork 유출 실험, 에이전트 보안의 경고
이번 사례의 핵심은 특정 모델의 실수가 아니라 위임 권한, 자동 승인, 메시징 미리보기가 연결된 제품 구조다. 기업은 에이전트 도입 전에 읽기 권한보다 쓰기·전송 권한의 경계를 먼저 설계해야 한다.
AI 뉴스를 놓치지 마세요
매주 핵심 AI 소식을 이메일로 받아보세요.
왜 Copilot Cowork 실험이 중요한가
PromptArmor는 Microsoft Copilot Cowork 파일 유출 실험에서 간접 프롬프트 인젝션이 Microsoft 365 파일 반출로 이어질 수 있다고 주장했다. 요지는 단순하다. 사용자가 업로드하거나 연결한 스킬 파일에 악성 지시가 숨어 있고, Copilot Cowork가 사용자의 Microsoft 365 권한으로 SharePoint·OneDrive 자료를 읽은 뒤 Teams 또는 이메일 메시지를 보내면, 메시지 안의 외부 이미지 요청을 통해 사전 인증 다운로드 링크가 빠져나갈 수 있다는 시나리오다.
중요한 대목은 “모델이 속았다”보다 “업무 시스템들이 너무 잘 연결됐다”는 점이다. Microsoft 365 환경에서 파일 접근은 Microsoft Graph를 통해 넓게 연결되고, Copilot 계열 제품은 사용자의 권한을 위임받아 문서·메일·채팅을 오간다. AgentHub가 앞서 다룬 도메인 위장 프롬프트 공격, 에이전트 방어의 맹점을 찌르다, Google AI 검색 조작, SEO가 보안 문제가 됐다와 같은 흐름이 이제 생산성 제품 내부로 들어온 셈이다.
공격 표면은 “승인 UX”에서 생긴다
PromptArmor의 설명에 따르면 Copilot Cowork는 민감한 작업에 대해 승인을 요구한다고 안내하지만, 활성 사용자에게 보내는 일부 이메일·Teams 메시지는 별도 사람 승인 없이 진행될 수 있다. 이 차이가 공격 체인의 핵심이다. 사람이 보기에는 자기 자신에게 보내는 요약 메시지지만, 에이전트 입장에서는 외부 네트워크 요청을 포함한 콘텐츠를 생성하는 쓰기 작업이다. 메시지를 열거나 미리보는 순간 이미지 URL이 호출되면 데이터 반출 채널이 된다.
이 패턴은 OWASP Top 10 for LLM Applications의 프롬프트 인젝션 항목과 맞닿아 있다. LLM은 외부 문서의 텍스트와 사용자의 지시를 같은 입력 공간에서 처리한다. 여기에 이메일, 캘린더, 파일, 채팅 같은 도구 호출 권한이 붙으면 “읽기” 작업이 곧 “행동”으로 번역된다. CISA의 Secure by Design 원칙도 기본값과 안전한 실패를 강조하는데, 에이전트 제품에서는 기본 승인 정책이 곧 보안 경계다.
| 구분 | 기존 SaaS 자동화 | AI 에이전트 자동화 | 보안팀이 봐야 할 질문 |
|---|---|---|---|
| 입력 | 정해진 폼과 API 파라미터 | 문서·웹·메일 속 자연어 | 외부 텍스트를 명령으로 오해하지 않는가 |
| 권한 | 앱 단위 권한 | 사용자 위임 권한 | 사용자의 전체 접근권이 에이전트에 전달되는가 |
| 승인 | 규칙 기반 워크플로 | 모델 판단과 UX 정책 | 자기 자신에게 보내는 메시지도 민감 작업인가 |
| 유출 경로 | API 호출·파일 다운로드 | 미리보기·이미지·링크 | 메시징 앱이 네트워크 egress가 되는가 |
Microsoft만의 문제가 아니다
이번 실험은 Microsoft 제품을 대상으로 하지만, 문제의 구조는 범용적이다. Slack, Gmail, Notion, Drive, Jira, GitHub를 연결한 에이전트라면 같은 질문을 받아야 한다. 특히 기업용 AI가 경쟁하는 방향은 “더 많은 업무 앱 연결”이다. Anthropic이 말한 다음 AI 전장: 선제성이 보여준 것처럼, 에이전트는 사용자가 묻기 전에 일을 끝내는 쪽으로 움직인다. 선제성이 커질수록 승인 지점은 줄고, 사후 로그의 중요성은 커진다.
한국 기업에도 현실적 리스크가 있다. Microsoft 365는 대기업·공공·학교에서 널리 쓰이고, SharePoint와 Teams에는 개인정보, 견적서, 계약서, 인사 자료가 함께 쌓인다. 에이전트 파일 접근을 “업무 생산성” 범주로만 승인하면 데이터 분류 정책이 무력화될 수 있다. CISA 키 유출, 에이전트 시대 비밀관리 경고에서 본 비밀관리 문제와 결합하면, 공격자는 문서 본문뿐 아니라 인증 링크와 내부 절차까지 노릴 수 있다.
도입 전 체크리스트
첫째, 에이전트가 읽을 수 있는 문서 범위를 사용자의 전체 권한과 분리해야 한다. 둘째, 메시지 전송·외부 링크 삽입·파일 공유 링크 생성은 모두 민감 작업으로 분류해야 한다. 셋째, Teams나 Outlook 미리보기에서 외부 이미지가 호출되는지, 프록시와 DLP가 이를 기록하는지 확인해야 한다. 넷째, 스킬·MCP 서버·브라우저 확장처럼 사용자가 임의로 붙이는 입력 경로는 사내 앱스토어 방식으로 통제하는 편이 안전하다.
Microsoft의 Copilot for Microsoft 365 보안·개인정보 문서도 기존 권한 모델과 데이터 보호를 강조한다. 하지만 에이전트형 제품에서는 “기존 권한을 존중한다”만으로 충분하지 않다. 기존 권한은 사람이 클릭할 때를 전제로 설계됐고, 에이전트는 초 단위로 여러 앱을 오가며 행동한다. 그래서 승인 UX, egress 통제, 감사 로그가 제품 평가의 핵심 항목이 되어야 한다.
자주 묻는 질문
Q1: 이번 사례는 실제 침해 사고인가요?
A: 공개된 내용은 PromptArmor의 보안 실험과 주장이다. 다만 공격 체인이 현실적인 기업 환경을 가정하고 있어 제품 도입 평가에 참고할 만하다.
Q2: Copilot을 끄는 것이 답인가요?
A: 무조건 차단보다 권한 범위, 외부 네트워크 호출, 메시지 전송 승인 정책을 재설계하는 것이 현실적이다.
Q3: 프롬프트 인젝션 필터만 강화하면 충분한가요?
A: 아니다. 필터는 우회될 수 있다. 도구 권한 최소화, 외부 링크 제한, 사후 감사가 함께 필요하다.
Q4: 한국 기업은 무엇부터 점검해야 하나요?
A: Teams·SharePoint·OneDrive에 민감 문서가 어떻게 분류돼 있는지, 에이전트가 그 문서에 접근할 수 있는지부터 봐야 한다.
Q5: 개발자에게 주는 시사점은 무엇인가요?
A: AI 기능을 붙일 때 “모델 호출”보다 “모델이 호출할 수 있는 도구”를 먼저 위협 모델링해야 한다.
관련 토픽 더 보기
📰 원본 출처
promptarmor.com이 기사는 AI 기술을 활용하여 작성되었으며, 원본 뉴스 소스를 기반으로 분석 및 해설을 추가한 콘텐츠입니다. 정확한 정보 전달을 위해 노력하고 있으나, 원본 기사를 함께 확인하시기를 권장합니다.