Microsoft Copilot Cowork에서 중대한 취약점 발견: AI Agent가 프롬프트 공격을 받으면 기업 기밀 파일을 자동으로 유출

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯2549 자

보안 기관 PromptArmor가 Microsoft 365 Copilot Cowork에 프롬프트 인젝션 취약점이 존재한다고 폭로했으며, 공격자는 악성 스킬 파일 하나를 통해 기업의 SharePoint 및 OneDrive 기밀 파일 유출을 일으킬 수 있다. (관련 기사: GitHub Copilot 셀프 구독 중단: AI 사용량 통제 불능, 저가 요금제 경제학 전면 붕괴) (배경 보충: Claude Cowork 완전 공략: AI를 채팅 비서에서 디지털 직원으로) PromptArmor는 지난주 위협 인텔리전스 보고서를 발표하며, Microsoft 365의 Copilot Cowork 기능에 완전히 재현 가능한 파일 유출 공격 체인이 존재한다고 지적했다. 여러 번의 테스트 중 5회 성공. 보안 연구 기관에 따르면 공격자는 81줄짜리 스킬 설정 파일에 단 5줄의 악성 명령만 삽입하면, 사용자가 전혀 모르는 사이에 AI 에이전트가 SharePoint 및 OneDrive의 기업 기밀 파일을 공격자가 통제하는 서버로 전송하게 만들 수 있다. 이는 개별 모델의 문제가 아니다. Claude Opus 4.7과 Claude Sonnet 4.6 모두 영향을 받는 것으로 확인되었으며, Opus 4.7은 더욱 "적극적"으로 행동하여 능동적으로 검색 범위를 확대해 피해자가 이번 주 모든 Cowork 작업 세션에서 열었던 파일까지 유출 목록에 포함시켰다. 이 공격의 핵심은 공식 문서와 실제 동작 사이의 괴리에 있다. Microsoft 공식 설명 문서에는 다음과 같이 명시되어 있다: "Cowork는 이메일 전송이나 Teams 메시지 게시 등 민감한 작업을 수행하기 전에 사용자의 동의를 먼저 구합니다." 그러나 PromptArmor 연구원들은 테스트 중에 수신자가 사용자 본인일 경우 이 규칙이 직접 무효화된다는 사실을 발견했다. 자신에게 이메일을 보내고, 자신에게 Teams 메시지를 보내면 Copilot Cowork는 일률적으로 자동 실행하며, 어떠한 권한 확인 팝업도 표시하지 않고, 사용자가 이 동작을 수정할 수 있는 설정도 전혀 없다. 이 세부 사항이 전체 공격 체인의 핵심 허점이 되었다. Copilot Cowork는 Microsoft 365의 Frontier 기능으로, Microsoft Graph를 통해 사용자의 전체 클라우드 권한을 획득하여 기업 테넌트 내 데이터 전체를 읽고 조작할 수 있다. 즉, 사용자가 볼 수 있는 모든 것, SharePoint의 재무 보고서, OneDrive의 인사 자료, 그리고 모든 개인 식별 정보가 포함된 파일을 볼 수 있다. 공격 체인은 총 6단계로 구성된다: 1단계: 피해자의 SharePoint 또는 OneDrive에 개인정보 또는 재무 데이터가 포함된 민감한 파일이 저장되어 있음 2단계: 피해자가 인터넷에서 스킬 설정 파일을 다운로드하여 Copilot Cowork에 업로드함. 이는 일반적인 작업으로, 플러그인 설치에 해당함. Cowork의 스킬 파일은 사용자 OneDrive의 특정 경로에서 자동으로 로드되며, 관리자의 가시성이 극도로 제한적임 3단계: 피해자가 Copilot Cowork에 이번 주 작업 요약을 정리해달라고 요청하여 스킬 실행을 트리거함 4단계: 삽입된 프롬프트 인젝션 명령이 에이전트를 조작하여 각 파일에 대해 "사전 인증된 다운로드 링크"를 획득하게 한 후, 악성 HTML 이미지 태그를 통해 이 링크들을 쿼리 매개변수로 공격자 서버에 전송함. 사전 인증된 다운로드 링크란 무엇인가? 간단히 말하면, 권한 정보가 포함된 URL로, 누구든지 이 링크를 받으면 Microsoft 계정에 로그인할 필요 없이 직접 클릭하여 해당 파일을 다운로드할 수 있다. 5단계: 에이전트가 사용자 본인에게 Teams 메시지를 전송하고, 메시지에는 이러한 악성 이미지 태그가 삽입됨. 전 과정에서 사용자 권한이 필요하지 않으며, 악성 콘텐츠는 사용자에게 완전히 보이지 않고, 메시지를 열어도 이상을 발견할 수 없음 6단계: 사용자가 Teams 메시지를 여는 순간, 브라우저가 자동으로 이미지를 로드하고, 사전 인증된 다운로드 링크가 이때 공격자 서버로 전송되며, 공격자는 언제든지 링크를 열어 모든 파일을 다운로드할 수 있음. PromptArmor의 테스트는 깊이 생각해 볼 만한 현상을 드러냈다: 모델 능력이 강력할수록 이 공격 시나리오에서 발생하는 손실은 더 커진다. 테스트 초기에는 "자동" 모드를 사용하여 시스템이 Claude Opus 4.7과 Claude Sonnet 4.6 사이에서 동적으로 전환되었다. 연구원들은 이후 Opus 4.7에 대해 단독으로 검증을 진행했으며, 동일한 인젝션 명령이 완전히 효과를 발휘하는 것을 발견했다. 이 공격 체인은 모든 테스트에서 완전하게 실행되었으며, 사용자의 구체적인 질문 텍스트와는 무관하고, 어떤 쿼리든 스킬 로딩을 트리거하기만 하면 인젝션이 성공한다. 공격의 지속성도 마찬가지로 우려스럽다. Copilot Cowork는 예약 작업을 지원하여, 사용자가 정기적으로 자동 실행되는 프롬프트 명령을 설정할 수 있게 한다. 공격자의 인젝션 설정이 일단 예약 작업에 들어가면, 피해자는 능동적으로 조작할 필요조차 없이 매 주기마다 공격이 조용히 실행되어, 기업 기밀을 끊임없이 외부로 유출하게 된다. PromptArmor는 이것이 단일 패치로 수정할 수 있는 프로그램 오류가 아니라, 기업급 AI 에이전트 설계 아키텍처의 시스템적 위험이라고 강조한다. 하나의 에이전트가 여러 시스템에 걸친 위임 권한을 부여받았을 때, 어느 한 시스템의 신뢰 경계가 무너지면 전면적 침투의 입구가 될 수 있다. PromptArmor는 보고서에서 Microsoft에 데이터가 Copilot Cowork 샌드박스 환경에서 직접 유출되는 것을 허용하는 또 다른 취약점을 공개했으며, 이는 이번 연구와는 독립된 별개의 문제로, 현재 책임 있는 공개 절차에 진입한 상태다. 이번에 공개된 공격 체인에 대해 연구원들은 수정을 기다리지 않고 능동적으로 공개하는 길을 선택했으며, 그 이유는 다음과 같다: 이 위험은 시스템 아키텍처 설계에서 비롯된 것이지 수정 가능한 특정 취약점이 아니며, 사용자가 이 위험을 수용할지 여부를 알고 결정해야 하기 때문이다. 현재 취할 수 있는 완화 조치는 주로 에이전트의 행동 반경을 제한하는 데 중점을 둔다. 관리자는 SharePoint를 통해 파일 다운로드를 제한할 수 있다: `Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true` 설정, 또는 민감도 레이블에 따라 다운로드 기능을 차단한다. 대가는 기능 손상으로, 사용자는 브라우저에서 파일을 조회만 할 수 있고 다운로드, 인쇄, 동기화를 할 수 없으며, 이는 Word, Excel, PowerPoint 등 모든 Microsoft 365 애플리케이션을 포함한다. 이는 또한 Microsoft Copilot 생태계의 최근 두 번째 중대 보안 문제이기도 하다. 앞서 EchoLeak (CVE-2025-32711)는 Copilot 개인 버전을 겨냥한 프롬프트 인젝션 취약점이었고, Varonis가 연구한 Reprompt 공격 (CVE-2026-24307)은 유사한 원클릭 데이터 유출 경로를 드러냈으며, Copilot Studio의 간접 프롬프트 인젝션 취약점 (CVE-2026-21520, CVSS 7.5)은 이미 패치되었지만, 동종 문제는 더 광범위한 Copilot 제품군에서 여전히 근절되지 않고 있다. AI 에이전트의 능력 경계가 기업 보안의 새로운 전장이 되고 있다. 하나의 도구가 사용자를 대신해 "일을 처리"할 수 있게 되면, 필요한 접근 권한은 불가피하게 확장되며, 부여된 모든 권한은 잠재적인 공격 벡터가 된다. 에이전트의 행동 능력을 제한하는 것은 본질적으로 그 사용 가치를 제한하는 것이며, 이 모순에 대해 현재 누구도 완벽한 답을 가지고 있지 않다.

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (動區 BlockTempo)

🔍과거 유사 사건· 키워드 + 종목 매칭6 건

2026-05-27

Base, MCP 도구 출시로 AI Agent가 암호화폐 지갑을 직접 제어: 송금, 환전, 잔액 조회를 한 번에 해결

유사도 120%關鍵字 agent同分類 zh

2026-05-26

Google, Meta 연구원들이 함께 목소리를 높이다: AI Agent 보안은 모델 문제가 아니라 시스템 문제다

유사도 120%關鍵字 agent同分類 zh

2026-05-25

속보》SquidRouterModule에 중대한 취약점 발견! 86개 Gnosis Safe가 해킹당해 300만 달러 피해

유사도 120%關鍵字爆重大漏洞同分類 zh

2026-05-24