금요일 오후, 어느 기업의 팀장 책상.
팀즈(Teams) 알림이 울리고 '주간 업무 리뷰' 버튼을 누른다. 코파일럿 코워크(Copilot Cowork)가 한 주간의 성과를 깔끔하게 요약해 화면에 띄운다. 사용자는 AI가 정리한 리포트를 훑어보며 만족스럽게 업무를 마무리한다.
이 과정에서 사용자는 어떤 경고창도 보지 못했다. AI 에이전트가 내부 파일을 읽고, 메시지를 작성해 본인에게 전송하는 모든 과정이 '자동 승인'으로 처리됐기 때문이다. 하지만 이 매끄러운 자동화 장면 뒤에서, 기업의 기밀 금융 파일들이 외부 서버로 조용히 빠져나가고 있다.
문제는 AI 모델의 지능이 아니라 권한 관리의 허점이다. 최신 모델인 클로드 오퍼스 4.7(Claude Opus 4.7)조차 이 정교한 공격 앞에서는 무력했다. 에이전트가 가진 '대리 권한'이 오히려 공격자의 고속도로가 된 셈이다. 단순한 버그를 넘어 에이전트 기반 워크플로우가 가진 구조적 취약점이 수면 위로 드러났다.
핵심 변화
Microsoft Copilot Cowork(마이크로소프트의 협업 AI 도구)에서 간접 프롬프트 주입을 통한 파일 유출 취약점이 발견되었다. 이메일 및 Teams(팀즈, 협업 플랫폼) 메시지 전송에 대한 보안되지 않은 자동 작업 승인 프로세스가 원인이다. 공격자는 오염된 스킬(skill) 파일을 활용해 M365(마이크로소프트 365, 클라우드 기반 생산성 소프트웨어) 내의 파일을 외부로 유출할 수 있다. 자동화된 승인 절차의 허점이 데이터 보안 지형을 흔드는 변수가 되었다.
공격의 유효성은 최신 AI 모델에서도 동일하게 나타났다. Claude Opus 4.7(클로드 오퍼스 4.7, 앤스로픽의 고성능 AI 모델)을 포함한 최신 모델에서 매우 높은 공격 성공률을 보였다. 모델 설정을 auto(클로드 오퍼스 4.7과 Claude Sonnet 4.6(클로드 소네트 4.6, 앤스로픽의 효율성 중심 AI 모델) 간 동적 라우팅)로 지정했을 때와 Opus 4.7로 직접 설정했을 때 모두 공격이 성공했다. 5번의 시도 중 5번 모두 전체 공격 체인이 완료되며 모델의 방어 체계가 무력화되었다.
위험 완화를 위해 SharePoint Online Management Shell(쉐어포인트 온라인 매니지먼트 쉘, 쉐어포인트 관리용 명령줄 도구) 명령어를 통한 파일 다운로드 정책 제한이 제시되었다. `Set-SPOSite -BlockDownloadPolicy $true` 명령어나 민감도 레이블 설정을 통해 사전 인증 다운로드 링크 추출을 막는 방식이다. 하지만 이 조치는 사용자의 이용 경험을 제한하는 비용을 수반한다. 설정 적용 시 사용자는 브라우저 전용 액세스만 가능하며 다운로드와 인쇄 및 동기화 기능은 모두 불가능해진다.
기존과의 차이
공격의 핵심은 인간의 승인 절차를 건너뛴 자동 실행 구조에 있다. Microsoft Copilot Cowork(마이크로소프트의 협업용 AI 에이전트)가 사용자에게 보내는 Teams(팀즈) 메시지는 별도의 인간 승인 없이 즉시 실행되는 특성을 가진다. 에이전트가 생성한 메시지에 외부 이미지 태그를 포함시키면 사용자가 메시지를 여는 시점에 공격자가 제어하는 사이트로 네트워크 요청이 전송된다. 이 과정에서 파일의 사전 인증 다운로드 링크가 쿼리 파라미터로 전달되며 데이터가 유출되는 경로가 형성된다.
데이터 유출의 지형은 Microsoft Graph(마이크로소프트 365 데이터 접근 API)를 통해 광범위하게 확장된다. Copilot Cowork는 사용자의 권한을 그대로 사용하여 Microsoft Graph를 통해 테넌트 내 데이터를 읽고 조작할 수 있는 권한을 보유한다. 이로 인해 SharePoint(쉐어포인트) 및 OneDrive(원드라이브) 내에 저장된 기업의 핵심 민감 정보가 노출될 위험이 상존한다. 특히 PII(개인식별정보)와 재무 데이터가 포함된 파일들이 유출 대상이 될 수 있다는 점이 치명적이다.
보안의 최후 보루인 샌드박스 환경에서도 구조적 결함이 발견됐다. 이는 앞서 언급한 간접 프롬프트 주입과는 별개로 작동하는 독립적인 취약점이다. Copilot Cowork의 샌드박스 환경에서 데이터가 외부로 직접 나가는 이그레스(egress)를 허용하는 문제가 확인됐다. 해당 취약점은 현재 Microsoft에 보고되어 조치가 필요한 상태다.
