마이크로소프트 링크 한 번 클릭으로 당신의 메일함이 털렸다: 서치리크 취약점 전격 해부

2026년 6월, 바로니스 위협 연구소(Varonis Threat Labs)는 마치 스파이 소설을 연상케 하는 취약점의 베일을 벗겼습니다. 서치리크(SearchLeak) 로 명명된 이 공격 체인은 마이크로소프트 365 코파일럿 엔터프라이즈 서치(Microsoft 365 Copilot Enterprise Search)에서 단 한 번의 클릭만으로 사용자의 가장 민감한 데이터를 빼낼 수 있었습니다. 유출 대상에는 이메일, 일회용 MFA 코드, 비밀번호 재설정 링크, 색인된 파일 등이 포함되었죠 . 비밀번호 입력창도, 추가 클릭도, 명시적인 프롬프트도 필요 없었습니다. 공격은 마이크로소프트 자체 도메인에서 이뤄졌기 때문에 기존의 피싱 방지 필터에 전혀 탐지되지 않았습니다 .

마이크로소프트는 이 취약점에 CVE-2026-42824를 할당하고 자체 기준으로 '심각(Critical)' 등급을 매겼으며, 실제 악용 사례가 발견되기 전에 서버 측에서 패치를 완료했습니다. 따라서 고객사가 별도로 조치할 사항은 없습니다 . 하지만 이 이야기의 진짜 핵심은 패치 그 자체가 아니라, 이 공격을 가능하게 했던 기발한 3단계 공격 체인과 그것이 AI가 접목된 엔터프라이즈 도구의 보안에 대해 시사하는 바에 있습니다.

서치리크가 중요한 이유

서치리크는 하나의 치명적인 버그가 아니었습니다. 세 가지 작은 취약점이 정교하게 연결된 체인이었고, 각각은 그 자체로는 큰 위협이 되지 못했을 것입니다. 하지만 이들이 결합되자, 로그인된 사용자가 마이크로소프트 그래프(Microsoft Graph)를 통해 접근할 수 있는 모든 것—이메일, 일정 초대, 회의록, 셰어포인트(SharePoint) 문서, 원드라이브(OneDrive) 파일—을 빼낼 수 있는 소리 없는 유출 파이프라인이 완성된 것입니다 .

결정적으로, 이 사건은 보안 연구원들이 경고해온 패턴을 다시 한번 확인시켜 주었습니다. 2026년 1월, 같은 바로니스 연구소는 소비자 대상 '코파일럿 퍼스널(Copilot Personal)'에서 거의 동일한 원클릭 공격인 리프롬프트(Reprompt) 를 공개한 바 있습니다 . 그보다 앞선 2025년 6월, AIM 시큐리티(Aim Security)는 악성 문서에 삽입된 프롬프트 인젝션을 무기화한 제로 클릭 취약점 에코리크(EchoLeak) 를 발표했습니다 . 서치리크의 등장은 엔터프라이즈급 가드레일이 이러한 근본적인 위험 부류를 제거하지 못했으며, 공격자들의 창의성 장벽만을 높였을 뿐임을 여실히 보여줍니다.

세 개의 버그로 이뤄진 공격 체인

서치리크 체인의 각 고리는 그 자체로 교훈을 주지만, 이들의 결합 효과가 공격을 그토록 강력하게 만들었습니다.

1단계: 매개변수-프롬프트 인젝션 (Parameter-to-Prompt Injection)

코파일럿 엔터프라이즈 서치는 사용자의 자연어 질의를 담는 q라는 URL 매개변수를 사용합니다. 바로니스 연구원들은 이 매개변수가 단순한 검색어뿐만 아니라 임의의 프롬프트 명령어까지 받아들인다는 사실을 발견했습니다 .

공격자는 인증된 사용자가 링크를 여는 순간, 겉으로 보이는 것과 전혀 다른 작업을 코파일럿에 지시하는 URL을 만들 수 있었습니다. 예를 들어, 링크를 통해 피해자의 메일함에서 MFA 코드를 찾아 그 코드를 이미지 URL 경로에 심고 응답에 첨부하라고 코파일럿에 명령할 수 있었습니다. 피해자는 평범한 마이크로소프트 검색 페이지만 보게 되지만, 코파일럿은 주입된 프롬프트를 묵묵히 수행하는 식입니다 .

바로니스가 P2P(Parameter-to-Prompt) 인젝션이라고 부르는 이 기술은 앞서 코파일럿 퍼스널을 겨냥한 리프롬프트 공격의 핵심 메커니즘이기도 했습니다 .

2단계: 새니타이저 우회를 노린 경쟁 상태 (Race Condition)

코파일럿이 <img> 태그와 같은 HTML 마크업이 포함된 출력을 생성하면, 서버 측 새니타이저는 브라우저가 이를 안전한 평문으로 간주하도록 출력을 코드 블록으로 감싸야 합니다. 문제가 뭐였을까요? 이 감싸기 작업은 콘텐츠가 완전히 생성된 이후에야 실행된다는 점이었습니다 .

하지만 브라우저는 응답이 스트리밍되는 동안 렌더링을 시작합니다. 따라서 공격자가 주입한 <img> 태그는 스트림에 등장하는 즉시 새니타이저가 작동하기도 전에 요청을 발생시킵니다. 코드 블록이 뒤늦게 나타날 때쯤이면 이미지 URL은 이미 요청되었고, 그 경로에 인코딩된 데이터는 이미 피해자의 브라우저를 떠난 후입니다 .

이것은 AI가 생성한 콘텐츠라는 맥락 때문에 치명적으로 변한 전형적인 경쟁 상태(Race Condition) 취약점입니다. AI 출력 자체를 공격자가 통제할 수 있는 세상에 맞춰 오래된 방어 메커니즘이 재설계되지 않았던 것입니다.

3단계: CSP 허용 목록의 빙(Bing) 엔드포인트를 통한 유출

앞선 두 단계가 준비되었더라도 마지막 장애물이 있었습니다. m365.cloud.microsoft 도메인의 콘텐츠 보안 정책(CSP)은 임의의 외부 서버로부터 이미지를 불러오는 것을 차단합니다. 하지만 *.bing.com은 허용 목록에 포함되어 있습니다 .

빙의 '이미지로 검색(Search by Image)' 엔드포인트는 URL을 서버 측에서 가져오도록 합니다. 서치리크 공격에서 공격자는 탈취한 데이터를 이미지 검색 경로의 일부로 추가했습니다 (예:

https://www.bing.com/images/search?q=/Your_Security_Code_847291/img.png

공격자는 단순히 빙 서버가 속아서 접근한 자신의 이미지 엔드포인트 로그를 모니터링하기만 하면 되었습니다.

단 한 번의 클릭이 가진 기만적인 단순함

전체 체인은 자동으로 실행되었습니다. 피해자가 링크를 클릭합니다. 코파일럿이 자신의 데이터를 검색합니다. 출력이 브라우저로 스트리밍됩니다. <img> 태그가 작동합니다. 빙 서버가 공격자의 URL을 가져옵니다. 데이터가 유출됩니다. 이 모든 과정이 사용자의 브라우저가 페이지 렌더링을 완료하기도 전에 일어납니다.

이 공격을 탐지하기 어려웠던 이유는 다음과 같습니다.

• URL이 신뢰할 수 있는 마이크로소프트 도메인에 있어, URL 스캐너와 평판 검사를 회피했습니다 .
• 인증 대화상자나 추가 클릭을 유발하지 않고 피해자의 기존 세션을 그대로 이용했습니다.
• 모든 외부 요청은 허용된 마이크로소프트 인프라로 전송되었습니다.

탈취될 수 있었던 데이터는 이론적인 수준에 그치지 않았습니다. 연구원들은 몇 분 동안 유효한 일회용 MFA 코드와 비밀번호 재설정 링크, 그리고 코파일럿이 색인한 일정 세부 정보와 민감 문서들을 주요 표적으로 지목했습니다 .

심각도 논란: '심각'이지만 점수는 Medium?

CVE-2026-42824는 심각도 점수를 두고 잠시 논란을 불러일으켰습니다. 마이크로소프트는 이 취약점에 내부 최고 등급인 심각(Critical) 을 부여했지만, CVSS v3.1 기본 점수는 6.5점(Medium)으로 책정했습니다. 그 이유는 공격에 사용자 상호작용(클릭 한 번)이 필요해 점수가 낮아졌기 때문입니다 .

일부 매체는 미국 국립취약점데이터베이스(NVD)가 7.5점(High)을 부여했다고 보도하기도 했습니다 . 그러나 실제로는 TNW의 분석을 포함한 여러 검토에서 마이크로소프트의 CSAF 기록과 NVD 항목 모두 동일한 6.5점 벡터를 반영하고 있음을 확인했습니다 . 더 높은 점수에 대한 인식은 독립적인 분석가들이 더 넓은 영향 가정 하에 계산했거나 초기 보도를 그대로 인용했기 때문일 수 있습니다.

점수가 어쨌든, 한 번의 클릭으로 조직의 가장 민감한 데이터가 노출될 수 있다는 사실은 명확했습니다.

코파일럿 취약점 계보

서치리크는 진공 상태에서 나타난 것이 아닙니다. 이는 두 개의 획기적인 AI 데이터 유출 발견 사례에 합류했습니다.

• 에코리크 (CVE-2025-32711) — 2025년 6월. AIM 시큐리티가 발견한 제로 클릭 취약점으로, 코파일럿이 자동으로 처리하는 문서에 삽입된 프롬프트 인젝션을 사용했습니다. 사용자 상호작용이 전혀 필요 없었습니다. CVSS 9.3점 .
• 리프롬프트 — 2026년 1월. 바로니스는 소비자용 코파일럿 퍼스널이 동일한 P2P 인젝션 기술로 하이재킹될 수 있음을 보여주었습니다. 악성코드도, 플러그인도 아닌, 단지 조작된 URL만으로 가능했죠 .

이들을 관통하는 공통분모는 프롬프트 인젝션입니다. 이는 AI의 핵심 능력인 '지시 수행'을 공격 표면으로 바꾸는 위협입니다. 이후 발견된 각각의 취약점은 하나의 표면(소비자 vs. 기업)을 패치하거나 가드레일을 추가하는 것(문서 처리 vs. 검색 질의)만으로는 이 위협 부류 자체를 제거할 수 없으며, 단지 공격자의 창의성 방향만 바꿔놓는다는 것을 입증했습니다 .

기업 IT 관리자가 지금 해야 할 일

서치리크 자체는 패치되어 고객 조치가 필요 없습니다. 하지만 이 공격 기법 자체가 사라지는 것은 아니므로, 보안 팀은 그 교훈을 실무에 적용해야 합니다.

코파일럿 검색 URL을 모니터링하십시오. q 매개변수는 여전히 노출되어 있습니다. 프록시 로그를 통해 전달되는 코파일럿 엔터프라이즈 서치 URL에서 인코딩된 HTML, 스크립트 유사 페이로드, 의심스러울 정도로 긴 명령어 문자열을 찾아보십시오 .

빙 이미지 엔드포인트로의 비정상적인 외부 요청을 주시하십시오. 사용자가 갑자기 *.bing.com으로 비정상적인 이미지 검색 경로(특히 인코딩되었거나 유출된 데이터와 유사한 패턴)에 대한 여러 요청을 생성한다면 경보를 울려야 합니다 .

코파일럿의 색인 범위를 제한하십시오. 최소 권한 데이터 거버넌스를 실천하십시오. 향후 취약점 발생 시 피해 범위가 확대되지 않도록 코파일럿이 색인할 수 있는 셰어포인트 사이트, 원드라이브 폴더, 사서함을 제한하십시오. 코파일럿의 마이크로소프트 그래프 권한을 정기적으로 감사하고 축소하십시오 .

서치리크의 공개는 단순한 패치 하나에 대한 이야기가 아니었습니다. 이는 프롬프트 인젝션과 클래식 웹 취약점의 진화하는 교차점에 대한 경고였습니다. 조직이 데이터에 대한 깊은 접근 권한을 가진 AI 코파일럿을 도입함에 따라, AI 출력을 신뢰할 수 있는 콘텐츠로 취급하는 보안 모델은 반드시 재고되어야 합니다. 다음 공격 체인은 이번과 같은 세 개의 버그를 사용하지는 않겠지만, 같은 패턴을 거의 확실히 재사용할 것입니다.