마이크로소프트의 인공지능(AI) 의료봇 서비스에 보안 결함이 드러난 것으로 전해졌다. 현재 해당 취약점은 보완된 상태다.
14일 미국 해커뉴스 보도에 따르면 악의적 공격자가 애저 헬스봇 보안 시스템을 우회 접속해 다른 사용자 데이터나 파일에 접근했던 것으로 알려졌다. 미국 사이버보안 기업 테너블이 이런 사례를 발견해 발표했다.
애저 AI 헬스봇은 의료기관 소속 개발자가 의료용 AI 비서를 맞춤형으로 구축하도록 돕는 클라우드 플랫폼이다. 의료진은 이 봇으로 환자와 실시간 소통할 수 있다. 환자도 보험금 상태나 의료 혜택에 대해 질문할 수 있다. 증상에 따른 병원과 의사 추천도 받을 수 있다.
해당 서비스가 병원이나 환자에 대한 데이터를 보유한 만큼 높은 보안 기술이 필수다. 이에 마이크로소프트는 외부에서 플랫폼 내부 데이터나 API에 접근할 수 없도록 안전 시스템을 설치한 바 있다.
이번 조사에 따르면 서비스 악용자는 해당 시스템을 우회해 접근 차단을 풀었다. 이를 통해 환자나 병원 데이터에 접근할 수 있었다. 공격자는 이 액세스 권한으로 마이크로소프트365나 모든 애저 시스템과 앤트라ID에 연결된 모든 서비스형 소프트웨어(SaaS) 애플리케이션으로 이동할 수 있다.
테너블은 올해 6~7월에 해당 사실을 발견한 후 즉시 마이크로소프트에 통보했다. 마이크로소프트는 보안 시스템을 업그레이드한 뒤 모든 챗봇 사용자들에게 새 버전을 배포했다.
관련기사
- "민감정보 유출 주의"…마이크로소프트, 새 보안 취약점 공개2024.08.11
- 마이크로소프트, 전 세계 파트너사 AI 기반 혁신 사례 발표2024.08.07
- 마이크로소프트 "오픈AI는 경쟁사"…이유는?2024.08.01
- "하필 실적발표 날"…마이크로소프트 365 시스템 먹통2024.07.31
마이크로소프트 관계자는 "우회 경로를 통해 의료 정보에 접근할 수 있었지만, 이를 악용한 사례는 발견되지 않았다"고 밝혔다.
테너블 관계자는 "이번 취약점은 챗봇 서비스의 기본 아키텍처 결함과 관련 있다"며 "AI 챗봇 시대에 전통적인 웹 앱과 클라우드 보안 중요성은 더 커질 것"이라고 분석했다.