단 한 번의 클릭으로 기업 데이터가 샌다: M365 코파일럿을 무기화한 '서치릭' 취약점 분석

2단계 — HTML 인젝션 경쟁 상태 (Race Condition)

코파일럿은 검색 결과를 브라우저에 렌더링할 때 출력물에 대한 보안 검사(살균 처리)를 완벽히 수행하지 못했습니다. 공격자가 주입한 프롬프트는 코파일럿으로 하여금 src 속성이 공격자 서버를 가리키는 HTML <img> 태그를 생성하게 만들었습니다. 렌더링 파이프라인의 경쟁 상태로 인해, 코파일럿의 보안 필터가 출력을 검사하고 차단하기 전에 브라우저가 먼저 이미지를 가져오면서, 도난당한 데이터가 이미지 요청에 인코딩되어 외부로 빠져나갔습니다. 쉽게 말해 AI가 답변을 생성하는 순간과 안전 장치가 이를 검증하는 사이의 틈을 노린 것입니다 .

3단계 — 빙 이미지 검색을 통한 SSRF

최종 유출 단계에서는 MS의 빙 이미지 검색 엔드포인트를 향한 서버 측 요청 위조(SSRF)가 활용되었습니다. img 태그의 소스는 브라우저가 신뢰할 수 있는 MS 내부 도메인인 bing.com으로 요청을 보내도록 조작되었습니다. 이 요청이 빙 인프라에서 발생한 것처럼 보였기 때문에, 기업 네트워크 방화벽과 데이터 유출 방지(DLP) 모니터링을 그대로 통과했습니다. 민감 데이터는 평범한 이미지 조회 요청의 URL 매개변수에 인코딩되어 곧바로 공격자의 서버로 전달되었습니다 .

위험에 노출된 데이터

공격이 시작되면, 코파일럿은 인증된 피해자의 권한으로 작동하며 기업 데이터에 접근했습니다. 연구원들이 입증한 탈취 가능 데이터는 다음과 같습니다 :

• 이메일 본문에 숨겨진 MFA 코드 및 비밀번호
• 전체 이메일 제목 및 메시지 내용
• 캘린더 이벤트 상세 정보
• 쉐어포인트 및 원드라이브 파일 요약 및 색인 콘텐츠

정리하자면, 대부분의 조직에서 사용자 권한이 광범위하게 설정된 마이크로소프트 그래프(MS Graph) 권한을 통해 코파일럿이 접근할 수 있는 모든 데이터가 유출될 가능성이 있었습니다.

취약점의 범위와 심각도

NVD(국가 취약점 데이터베이스)는 근본 원인을 "M365 코파일럿에서 명령어에 사용된 특수 요소에 대한 부적절한 무력화('명령어 인젝션')"로 설명했습니다 . 심각도 점수는 여러 기관별로 다소 차이를 보였습니다.

• NVD CVSS 3.1: 6.5점 (중간), 공격 벡터는 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
• 테너블(Tenable) CVSS v2: 7.8점 (높음)
• MS 자체 평가: 내부적으로 '중요(Critical)' 등급 부여

실질적 위험도는 매우 높았습니다. 모든 M365 코파일럿 엔터프라이즈 사용자가 표적이 될 수 있었고, 공격 트리거가 완벽히 신뢰된 URL 클릭 단 한 번이었으며, 전통적인 이메일 및 네트워크 보안 도구로는 이를 감지할 수 없었기 때문입니다. MS는 이 취약점이 서버 측에서 수정되었으며, 공개 당시 실제 공격 사례는 발견되지 않았다고 확인했습니다 .

반복되는 패턴: 서치릭, 리프롬프트, 에코릭

서치릭은 약 1년 사이에 발견된 MS 코파일럿 대상 프롬프트 인젝션 공격 중 세 번째입니다. 이 일련의 사건들은 단순한 개별 버그가 아닌, AI 비서 아키텍처의 구조적 약점을 시사합니다.

리프롬프트(Reprompt, CVE‑2026‑24307) — 2026년 1월

같은 바로니스 팀이 공개한 리프롬프트는 코파일럿 퍼스널(소비자용)을 겨냥한 공격이었습니다. 역시 q 매개변수를 통해 명령어를 주입했지만, 여기에 '이중 요청' 기법을 더했습니다. 코파일럿의 유출 방지 장치가 첫 번째 상호작용에만 적용된다는 점을 파고들어, 요청을 한 번 더 반복해 프로필 정보, 파일 요약, 대화 기록을 빼내는 방식이었습니다. MS는 2026년 1월 패치 화요일 업데이트에서 이를 수정했습니다 .

에코릭(EchoLeak, CVE‑2025‑32711) — 2025년 6월

에임 시큐리티(Aim Security)가 발견한 에코릭은 M365 코파일럿의 제로 클릭 취약점이었습니다. 숨겨진 마크다운 이미지 태그를 포함한 이메일 한 통이면 코파일럿이 메시지를 처리할 때 사용자 클릭 없이도 데이터가 탈취되었습니다. 이 공격은 AI가 신뢰된 콘텐츠를 수동적으로 처리하는 행위 자체가 무기화될 수 있음을 보여주었습니다 .

서치릭(SearchLeak, CVE‑2026‑42824) — 2026년 6월

기업용 코파일럿을 겨냥한 이번 공격은 P2P 인젝션에 웹 계층 버그를 결합해, 원클릭으로 빙의 인프라를 유출 통로로 악용하고 DLP를 완전히 우회했습니다 .

공통된 맥락: 세 공격 모두 동일한 근본 아키텍처를 악용합니다. 코파일럿과 같은 LLM 기반 비서는 URL 매개변수, 이메일 본문, 검색 쿼리 등 사용자 제공 콘텐츠를 정당한 명령으로 신뢰합니다. 이들이 출력을 생성할 때, 그 결과물이 브라우저나 메일 클라이언트에서 자동으로 이미지를 로드하거나 링크를 렌더링하는 등 클라이언트 측 동작을 유발하며, 이는 데이터가 조직을 빠져나가는 믿을 수 있는 통로가 됩니다. MS는 각 취약점을 개별적으로 패치했지만, 비서 시스템이 명령과 비신뢰 데이터 사이의 경계를 어디에 둘 것인지 아키텍처 자체에서 해결하기 전까지는 이러한 프롬프트 인젝션과 출력 통로 문제가 계속해서 나타날 가능성이 높습니다 .