오픈AI ‘챗GPT’, 캘린더 앱 MCP 연동 과정서 취약점 발견

[아이티데일리] 오픈AI의 생성형 인공지능(AI) 서비스 ‘챗GPT(ChatGPT)’에 캘린더 앱을 연동하는 과정에서 보안 취약점이 발견됐다.

19일 보안 외신 시큐리티위크(SecurityWeek)에 따르면 ‘모델 컨텍스트 프로토콜(Model Context Protocol, MCP)’로 챗GPT에 캘린더 앱을 연결한 사용자에게 악성 이메일을 보내 데이터를 유출할 수 있었다.

MCP는 엔트로픽(Anthropic)이 공개한 프로토콜로, AI가 자율적으로 외부 도구를 인식하고 사용할 수 있도록 지원하는 실행 프레임워크다. LLM은 MCP를 통해 외부 서비스와 연계해 보다 구체적인 작업 수행이 가능하다.

오픈AI는 지난 11일 챗GPT에서 MCP 커넥터 기능을 지원한다고 발표했다. 이 기능은 개발자 모드를 활성화하면 사용할 수 있다. 챗GPT는 MCP 커넥터를 통해 캘린더, 이메일을 연동하거나 고객관계관리(CRM) 기록을 업데이트하는 등의 작업을 수행할 수 있다.

MCP 커넥터는 외부 서비스와 챗GPT를 연결함으로써 업무 생산성을 높일 수 있다는 점에서 주목받았다. 하지만 새로운 보안 취약점이 드러나며 이를 악용할 가능성도 존재하게 됐다.. 실제 오픈AI는 MCP 커넥터 기능을 공개하며 프롬프트 주입 공격과 악의적 정보 탈취 가능성을 경고하며 주의를 당부했다.

AI 데이터 거버넌스 플랫폼 기업 ‘에디슨워치(EdisonWatch)’의 에이토 미야무라(Eito Miyamura) 최고경영자(CEO)는 지난 16일 개인 소셜미디어를 통해 캘린더 초대만으로 사용자 이메일을 가로챌 수 있는 해킹 시나리오를 공개했다.

미야무라 CEO는 △악성 프롬프트가 담긴 초대를 이메일로 전송하고 △사용자가 챗GPT에 일정 확인을 요청하면 △챗GPT가 해커가 만든 내용을 그대로 실행하는 구조를 설명했다. 이때 캘린더 초대 메일에는 메일함에서 민감 정보를 검색해 지정한 이메일 주소로 보내도록 지시하는 ‘탈옥(Jailbreaking) 프롬프트’가 담겼다.

공격자는 피해자의 이메일 주소만 알면 피싱 메일을 보내 챗GPT에 침투할 수 있었다. 피해자는 초대를 수락하지 않더라도 챗GPT가 메일을 읽기만 해도 악성 명령이 실행돼 피해를 입을 수 있었다.

미야무라 CEO는 “현재 MCP 기능은 챗GPT 개발자 모드에서만 사용할 수 있으며 모든 세션에 대해 사용자 승인이 필요하다”면서도 “많은 이들은 AI를 믿은 채 쉽사리 승인 버튼을 누르고 권한을 공유하게 될 것”이라고 경고했다.

외부 서비스와 AI를 연동하는 과정에서 발생하는 보안 위험은 챗GPT에 국한된 문제는 아니다. 공격 시뮬레이션 기업 ‘세이프브리치(SafeBreach)’는 지난달 6일 구글 캘린더 초대장을 악용해 ‘제미나이(Gemini)’를 조작한 사례를 공유했다.

이 사례 역시 악성 프롬프트가 담긴 초대 메일을 피해자에게 보내는 형태로 공격이 이뤄졌다. 제미나이가 이 메일을 읽는 순간, 공격자는 AI 서비스를 장악하고 구글의 다른 애플리케이션에 접근할 수 있는 권한을 확보했다.