오픈AI, 파트너사 해킹으로 일부 데이터 유출..."데이터 악용 주의"

오픈AI의 파트너사에서 보안 사고가 발생해 일부 사용자의 이름, 이메일 등 개인정보가 유출됐다. 유출된 데이터 규모는 제한되지만 이를 악용한 추가 범죄가 예상되는 만큼 주의가 요구된다.

오픈AI는 파트너사인 웹 분석 업체 믹스패널 시스템에서 일부 사용자 계정의 웹 분석 데이터가 공격자에게 유출됐다고 28일 밝혔다.

믹스패널은 오픈AI API 제품 웹 콘솔 프론트엔드에서 트래픽과 사용 행태를 분석하는 도구로 쓰여 왔다.

오픈AI의 파트너사인 믹스패널의 해킹 사고로 일부 데이터가 유출됐다(이미지=믹스패널)

지난 9일 믹스패널은 시스템 일부에 대한 비인가 접근을 탐지하고 고객사 데이터 일부가 외부로 반출된 정황을 확인했다. 이후 자체 조사를 거쳐 오픈AI에 해당 데이터셋을 전달했고 오픈AI는 이를 바탕으로 영향 범위를 분석하고 있다.

오픈AI 측은 유출된 정보가 오픈AI API 계정에 연결된 프로필과 웹 분석 정보로 한정되며 플랫폼을 통한 챗GPT와 기타 소비자용 서비스 이용자는 이번 영향 범위에 포함되지 않는다고 설명했다. 개발자용 API 콘솔 이용자가 아닌 일반 챗GPT 이용자 계정은 이번 사고와 무관하다는 의미다.

구체적으로는 API 계정에 등록된 이름과 이메일 주소, 브라우저를 기반으로 추정한 대략적인 위치 정보, 접속에 사용된 운영체제와 브라우저 정보, 플랫폼 접속 직전에 방문한 웹사이트, 조직과 사용자 ID 등이 포함된 것으로 알려졌다.

대화 내용, 프롬프트와 응답, API 사용 로그, 비밀번호, 자격 증명, API 키, 결제 정보, 신분증 등 민감 정보는 이번 유출 범위에 포함되지 않았다는 것이 오픈AI의 설명이다.

이번에 노출된 정보 자체는 제한적이지만, 공격자가 이를 피싱·소셜 엔지니어링 공격에 악용할 가능성은 남아 있다. 이름, 이메일, 계정 ID, 대략적 위치 정보만으로도 실제 개발자나 조직을 노린 그럴듯한 사기 메일을 만들어 낼 수 있기 때문이다. 보안 전문가들 역시 민감도가 낮은 정보라도 여러 출처에서 모이면 신뢰를 가장한 공격 메시지 제작에 충분히 활용될 수 있다고 지적한다.

믹스패널 측은 이번 침해가 문자메시지를 악용한 스미싱 형태의 피싱 공격에서 비롯됐다고 설명했다. 공격자는 내부 계정 가운데 하나를 속여 로그인 정보를 탈취한 뒤, 이 계정으로 더 넓은 권한을 확보해 데이터셋을 추출한 것으로 알려졌다. 같은 기간 믹스패널을 사용하던 다른 서비스 사업자들도 유사한 유형의 사고 통지를 받은 것으로 전해졌다.

오픈AI는 사고 인지 후 믹스패널을 프로덕션 환경에서 제거했다고 밝혔다. 이어 믹스패널이 제공한 데이터셋을 자체적으로 재검토하고 타 파트너사·벤더와 함께 사고 경위와 영향 범위를 파악하고 있다고 덧붙였다.

오픈AI는 이번 사건을 계기로 믹스패널 사용을 종료했으며, 전체 벤더 생태계를 대상으로 보안 점검을 확대하고 파트너·공급사에 대한 보안 요구 수준을 한층 높이겠다고 강조했다.

또 오픈AI는 조직 관리자와 계정 소유자를 대상으로 개별 이메일을 통해 사고 사실과 영향을 받았을 수 있는 정보 범위를 안내하고 있다. 다만 비밀번호나 API 키, 인증 토큰이 유출된 정황은 확인되지 않았기 때문에 이번 사고만을 이유로 한 일괄 비밀번호 변경이나 키 교체까지는 권고하지 않는다는 입장이다.

오픈AI는 사용자가 유념해야 할 보안 수칙도 함께 제시했다. 우선 발신자가 오픈AI라고 주장하더라도 뜻밖에 도착한 메일·메시지에 포함된 링크나 첨부파일은 신중하게 열어야 한다고 당부했다.