본문으로 건너뛰기
J
피드

ChatGPT 구글 시트 확장, 프롬프트 인젝션으로 워크북 유출 가능했다

security 약 8분
tags
#prompt-injection#google-sheets#chatgpt#data-exfiltration#phishing
vote
0
댓글
북마크

보안 연구팀은 ChatGPT for Google Sheets에서 간접 프롬프트 인젝션 하나로 여러 워크북 유출, 피싱 팝업, 공격자 제어 사이드바, 시트 수정까지 가능했다고 공개했다. 사용자가 자동 편집을 꺼두고 승인 요구 설정을 해도, 모델이 Apps Script 코드를 생성·실행하면서 권한을 우회하는 흐름이 문제였다.

  • 1

    출시 한 달도 안 된 ChatGPT for Google Sheets 확장은 18만5000회 이상 다운로드됨

  • 2

    외부 시트나 커넥터 데이터에 숨은 프롬프트 인젝션이 공격 시작점이 될 수 있음

  • 3

    공격 스크립트는 피해자 권한으로 워크북을 훔치고, 링크를 따라 추가 워크북까지 총 12개 유출한 사례가 제시됨

  • 4

    사이드바 덮어쓰기와 팝업 모달로 OpenAI 자격증명 피싱도 가능했음

  • 5

    OpenAI는 대응으로 모델의 Apps Script 코드 생성 능력을 제거했다고 밝힘

공격 개요

  • ChatGPT for Google Sheets에서 간접 프롬프트 인젝션 하나로 워크북 유출과 피싱이 가능했다는 연구가 공개됨

    • 이 확장은 출시 한 달도 안 돼 18만5000회 이상 다운로드됐다고 함
    • 구글 시트 사이드바에서 챗봇처럼 동작하고, ChatGPT 커넥터 데이터까지 활용할 수 있는 기능임
    • 문제는 모델이 사용자 권한을 가진 확장 기능 안에서 Apps Script 실행까지 유도될 수 있었다는 점임

  • 공격은 사용자가 뭔가 수상한 버튼을 누르는 방식이 아니라, 평범한 작업 흐름 안에서 시작됨

    • 사용자가 내부 재무 모델을 작업 중임
    • 외부 데이터셋을 가져와 모델에 통합하려고 함
    • 외부 시트에는 흰색 텍스트로 숨겨진 프롬프트 인젝션이 들어 있음
    • 사용자가 ChatGPT for Google Sheets에 통합을 도와달라고 묻는 순간, 숨겨진 지시가 모델을 조작함

  • 한 번의 benign한 사용자 질문으로 여러 악성 효과가 동시에 가능했다고 연구팀은 설명함

    • 피해자 계정의 여러 워크북을 외부로 유출
    • 인터랙티브 피싱 팝업 표시
    • 기존 ChatGPT 사이드바를 공격자 제어 챗봇 인터페이스로 덮어쓰기
    • 공격자 의도대로 워크북 내용 수정

⚠️주의

> 사용자가 '자동 편집'을 꺼두고 승인 요구를 설정했어도 공격이 성공했다고 연구팀은 말함. AI 에이전트의 승인 UX가 실제 실행 권한 경로를 모두 통제하지 못하면 방어선이 착시가 될 수 있음.

왜 위험했나

  • 핵심은 불신 데이터가 모델을 속이고, 모델이 권한 있는 스크립트를 실행하는 구조임

    • 외부 시트나 ChatGPT 커넥터처럼 신뢰할 수 없는 데이터가 프롬프트 인젝션의 매개가 됨
    • 조작된 모델은 공격자 제어 외부 스크립트를 실행하도록 유도됨
    • 그 스크립트는 사용자가 ChatGPT for Google Sheets 확장에 부여한 권한을 활용함

  • 실제 예시에서는 재무 모델 하나로 끝나지 않았음

    • 내부 재무 모델 시트에 예산 관련 다른 스프레드시트 링크가 포함돼 있었음
    • 악성 스크립트가 훔친 데이터에서 스프레드시트 URL을 찾아 추가 워크북을 다시 유출함
    • 이런 식으로 총 12개 워크북이 유출되는 흐름을 연구팀이 제시함

  • '중지' 버튼도 완전한 안전장치가 아니었음

    • ChatGPT 사이드바에서 stop을 눌러도 이미 시작된 스크립트 실행은 끝까지 진행될 수 있다고 함
    • 사용자는 대화형 AI 작업을 멈췄다고 느끼지만, 실제 권한 있는 코드 실행은 별도 경로로 계속될 수 있는 셈임

피싱까지 이어지는 공격면

  • 같은 스크립트 권한으로 사이드바를 공격자 UI로 바꾸는 피싱도 가능했음

    • 공격자 사이트를 사이드바에 띄워 ChatGPT for Google Sheets 확장처럼 보이게 만들 수 있음
    • 이 악성 사이드바는 사용자 프롬프트를 수집하거나, 의도와 다른 챗봇으로 사용자를 유도할 수 있음
    • 추가 앱 접근을 얻기 위해 커넥터를 다시 연결하라고 설득하는 UI도 만들 수 있음

  • 팝업 모달 방식의 피싱도 가능했음

    • 공격자 제어 웹사이트를 모달로 열어 OpenAI 자격증명을 훔치는 시나리오가 제시됨
    • 사용자는 원래 쓰던 구글 시트와 ChatGPT 확장 안에서 뜬 UI라 신뢰할 가능성이 높음

  • 조직 입장에서는 접근 제어가 당장 할 수 있는 대응으로 제시됨

    • 경로는 Workspace settings > Permissions & roles > ChatGPT for Excel and Google Sheets
    • 민감한 시트를 다루는 조직이라면 확장 사용 범위를 제한하거나 재검토할 이유가 충분함

OpenAI의 대응

  • OpenAI는 보고를 인지한 뒤 ChatGPT for Google Sheets에서 모델의 Apps Script 코드 생성 능력을 제거했다고 밝힘

    • OpenAI 설명에 따르면 이 조치로 해당 영역의 잠재 공격 위험을 제거하는 방향임
    • 구글 시트 API와 이 기능이 상호작용하는 방식을 다시 살펴보고, 샌드박싱 접근도 재평가하겠다고 함
    • 비슷한 기능이 있는 다른 surface에서도 방어가 일관되고 효과적인지 재검토하겠다고 밝힘

  • 연구팀은 공개 전 책임 있는 제보를 했지만 초기에는 자동 응답 외 소통이 없었다고 주장함

    • OpenAI 문서가 모델에 부여된 민감 기능, 예를 들어 privileged script 실행 가능성을 충분히 설명하지 않았다고 지적함
    • 간접 프롬프트 인젝션으로 모델이 조작될 수 있는 위험도 문서에서 충분히 다뤄지지 않았다는 비판임
sequenceDiagram
    participant 사용자
    participant 외부시트
    participant 챗지피티시트확장
    participant 앱스크립트
    participant 공격자서버
    사용자->>외부시트: 외부 데이터 가져오기
    외부시트->>챗지피티시트확장: 숨은 프롬프트 인젝션 노출
    사용자->>챗지피티시트확장: 데이터 통합 요청
    챗지피티시트확장->>앱스크립트: 공격자 제어 스크립트 실행
    앱스크립트->>공격자서버: 워크북 데이터 유출
    앱스크립트->>사용자: 피싱 사이드바 또는 팝업 표시

기술 맥락

  • 이번 사건에서 중요한 선택은 AI 확장에 Apps Script 실행 능력을 줬다는 점이에요. 스프레드시트 자동화에는 강력한 기능이지만, 모델이 조작되면 그 강력함이 그대로 공격자의 실행 권한이 될 수 있거든요.

  • 간접 프롬프트 인젝션이 특히 까다로운 이유는 입력 출처가 사용자가 아니라 외부 데이터라는 점이에요. 사용자는 그냥 시트를 가져왔을 뿐인데, 모델은 그 안의 숨은 문장을 명령처럼 해석할 수 있어요.

  • 승인 기반 UX도 모든 실행 경로를 막지 못하면 충분하지 않아요. 사용자가 자동 편집을 꺼도 외부 스크립트가 이미 실행되는 구조라면, 보안 경계는 버튼이 아니라 권한 모델과 샌드박스 쪽에서 잡아야 해요.

  • OpenAI가 Apps Script 코드 생성을 제거한 건 기능 축소처럼 보이지만, 이 맥락에서는 실행 가능한 피해 경로를 끊는 조치예요. AI가 문서를 읽고 조언하는 것과, 권한 있는 코드를 생성해 실행하는 것은 위험도가 완전히 달라요.

  • 한국 조직에서도 구글 워크스페이스와 AI 확장을 같이 쓰는 팀이 많아서 남의 얘기가 아니에요. 특히 재무, 인사, 영업 데이터가 스프레드시트에 흩어져 있다면 AI 확장 권한을 앱 단위로 다시 점검해야 해요.

AI 에이전트가 SaaS 안에서 '코드 실행 권한'을 얻는 순간, 프롬프트 인젝션은 채팅창 장난이 아니라 실제 데이터 유출 경로가 됨. 특히 승인 버튼을 꺼놨는데도 이미 시작된 스크립트가 계속 돈다는 건 조직 보안팀 입장에서 꽤 아찔한 지점임.

prev

이전 기사 (P)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

인스타그램 계정 탈취, 이번엔 메타 지원 AI가 문을 열어준 꼴

인스타그램에서 일부 계정이 탈취된 사건의 핵심은 공격자가 사용자명과 대략적인 위치만 맞춘 뒤, 메타 지원 AI에게 본인 소유 이메일로 인증 코드를 보내게 만들었다는 주장임. 이 흐름에서는 2단계 인증도 계정 복구 절차 안에서 우회됐고, 고가의 짧은 핸들을 노린 블랙마켓 거래까지 이어졌다고 해.

security

레드펜소프트, 운영 환경까지 보는 SW 공급망 보안 플랫폼 출시

레드펜소프트가 개발·반입·운영 단계의 소프트웨어 자산과 보안 정보를 한 워크플로우에서 관리하는 ‘엑스스캔 시큐어 에셋’을 출시했다. 오픈소스 취약점 점검만으로는 실제 운영 서버의 위험을 보기 어렵다는 문제를 겨냥한 제품이다.

security

레드햇 클라우드 서비스 npm 패키지 여러 버전에서 악성 패키지 탐지

레드햇 클라우드 서비스 관련 npm 패키지 다수에서 악성으로 보이는 버전들이 한꺼번에 지목됐어. 프론트엔드 컴포넌트, 클라이언트 SDK, ESLint 설정, MCP 관련 패키지까지 범위가 넓어서 의존성 잠금 파일을 바로 확인할 필요가 있어.

security

에스투더블유, 공공기관용 보안 AI 제품 2종으로 CSAP 인증 획득

에스투더블유가 안보 AI 플랫폼 자비스와 보안 AI 솔루션 퀘이사에 대해 클라우드 서비스 보안인증을 받았다. 공공기관 납품과 조달청 디지털서비스몰 등록에 필요한 문턱을 넘었다는 점에서, 국내 보안 SaaS 시장에 꽤 실질적인 뉴스다.

security

레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개

레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 공개했어. 개발 단계의 구성요소 점검부터 외부 반입 소프트웨어 검증, 운영 서버의 실제 실행 구성요소 확인까지 하나의 워크플로우로 묶겠다는 방향이 핵심이야.