제로 클릭 마이크로소프트 코파일럿 취약점, 새롭게 부상하는 AI 보안 위험 강조

개요
마이크로소프트 코파일럿의 심각한 보안 취약점이 발견되었으며, 이는 공격자가 쉽게 개인 데이터에 접근할 수 있게 하는 문제로 생성형 AI의 실제 보안 위험을 강력하게 보여주는 사례입니다. 다행히도 CEO들이 AI에 열광하는 한편, 보안 전문가들은 보안 및 개인정보 보호에 더 큰 투자를 촉구하고 있다는 것이 연구 결과로 나타났습니다.
취약점 상세 정보
마이크로소프트 코파일럿 취약점인 EchoLeak은 NIST의 국가 취약점 데이터베이스에 CVE-2025-32711로 등록되었으며, 심각도 점수 9.3을 받았습니다. Aim Labs에 따르면, 이 "제로 클릭" 취약점은 "공격자가 사용자의 인지 없이, 또는 특정 피해자 행동에 의존하지 않고도 M365 코파일럿 컨텍스트에서 민감하고 독점적인 정보를 자동으로 유출할 수 있게" 합니다. 마이크로소프트는 다음 날 이 취약점을 패치했습니다.
EchoLeak은 새로운 AI 방법이 새로운 공격 표면과 보안 취약점을 가져온다는 업계의 경각심을 일깨우는 계기가 되었습니다. 마이크로소프트에 따르면 아직 이 취약점으로 인한 피해는 보고되지 않았지만, 이 공격은 "다른 RAG 애플리케이션과 AI 에이전트에 존재하는 일반적인 설계 결함"을 기반으로 한다고 Aim Labs는 밝혔습니다.

연구 결과 및 산업 동향
NTT DATA가 오늘 발표한 2,300명 이상의 고위 GenAI 의사결정자를 대상으로 한 설문조사에 따르면 "CEO와 비즈니스 리더들이 GenAI 도입에 전념하고 있지만, CISO와 운영 리더들은 배포와 관련된 보안 위험과 인프라 과제를 완전히 해결하는 데 필요한 지침, 명확성, 자원이 부족하다"고 밝혔습니다.
NTT Data는 C-Suite 임원의 99%가 "향후 2년 동안 추가 GenAI 투자를 계획하고 있으며, CEO의 67%가 상당한 투자를 계획하고 있다"고 밝혔습니다. 이러한 자금 중 일부는 사이버 보안에 투입될 예정이며, 이는 CIO와 CTO의 95%가 최우선 투자 우선순위로 꼽았습니다.
"그러나 이러한 낙관론에도 불구하고, 전략적 야망과 운영 실행 사이에 주목할 만한 불일치가 존재하며, CISO의 거의 절반(45%)이 GenAI 도입에 대해 부정적인 감정을 표현하고 있다"고 NTT DATA는 밝혔습니다. "CISO의 절반 이상(54%)이 GenAI 책임에 관한 내부 지침이나 정책이 불명확하다고 말하지만, CEO의 20%만이 같은 우려를 공유하고 있어 경영진 정렬에 큰 격차가 드러났습니다."

보안 및 개인정보 보호 투자 필요성
Nutanix가 오늘 발표한 또 다른 연구에 따르면, 공공 부문 조직의 리더들은 AI를 도입하면서 보안에 더 많은 투자를 원하는 것으로 나타났습니다.
회사의 최신 공공 부문 엔터프라이즈 클라우드 인덱스(ECI) 연구에 따르면 공공 부문 조직의 94%가 이미 콘텐츠 생성이나 챗봇과 같은 AI를 도입하고 있습니다. AI를 위해 IT 시스템을 현대화함에 따라 리더들은 조직이 보안 및 개인정보 보호에 대한 투자도 증가시키기를 원합니다.
ECI는 "GenAI 솔루션 구현 및 성공을 지원하는 데 필요한 데이터 보안/거버넌스의 기본 수준을 개선하기 위해 상당한 작업이 필요하다"고 Nutanix는 말했습니다. 다행히도 응답자의 96%는 GenAI와 함께 보안 및 개인정보 보호가 더 높은 우선순위가 되고 있다는 데 동의했습니다.
결론
생성형 AI 기술의 채택이 가속화됨에 따라 사이버 보안은 처음부터 내장되어 복원력을 강화해야 합니다. CEO들이 혁신을 지지하는 동안, 사이버 보안과 비즈니스 전략 간의 원활한 협력을 보장하는 것이 새로운 위험을 완화하는 데 중요합니다. GenAI에 대한 안전하고 확장 가능한 접근 방식은 사전 조정, 현대적인 인프라, 신뢰할 수 있는 공동 혁신을 필요로 하여 새로운 위협으로부터 기업을 보호하는 동시에 AI의 잠재력을 최대한 활용할 수 있게 합니다.