많은 팀이 Microsoft 365 Copilot이나 비슷한 업무용 AI를 도입할 때 가장 먼저 기대하는 것은 “자료를 더 빨리 찾아주는 것”입니다. 메일함, 문서, 회의 기록, 회사 내부 검색 결과를 읽을 수 있으니 일반 챗봇보다 업무 맥락에 더 맞는 답을 내놓는 것도 자연스럽습니다.
하지만 SearchLeak 같은 취약점은 우리에게 한 가지를 상기시킵니다. 업무용 AI가 회사 데이터를 더 많이 읽을수록, 그것을 단순한 검색창처럼 다뤄서는 안 된다는 점입니다. 진짜 문제는 “AI가 헛소리를 하느냐”가 아니라 외부 콘텐츠에 유도되어 원래 내부에서만 보여야 할 데이터를 밖으로 가져가느냐입니다.
이 미니 레슨에서 다루려는 것은 “직원이 자료를 함부로 다운로드하느냐”가 아닙니다. 그보다 더 은밀한 층위입니다. 외부 콘텐츠가 AI에게 지시를 내릴 수 있을 때, 사용자가 복사해서 붙여넣지 않았는데도 AI가 자기 응답을 통해 내부 데이터를 밖으로 보낼 수 있는가. 업무용 AI 검색을 도입하기 전, 먼저 이 경계를 그어야 합니다.
이 글은 특정 취약점 번호(CVE, 공개적으로 공개된 취약점의 공통 식별 번호)를 패치하는 방법을 설명하지도, 책임을 사용자에게 떠넘기지도 않습니다. 더 일상적인 의사결정을 다룹니다. AI 검색이 메일함과 문서를 볼 수 있을 때, 팀은 어떤 데이터 경계를 먼저 그어야 “좀 찾아줘”가 유출 통로로 바뀌지 않을까요.
먼저 SearchLeak이 드러낸 워크플로 문제 이해하기
Varonis Threat Labs가 공개한 SearchLeak 연구에 따르면, 연구자들은 Microsoft 365 Copilot Enterprise의 검색 링크, AI 응답 안의 HTML 이미지 로딩, 그리고 허용된 Bing 관련 도메인을 연결해 데이터 반출 체인을 만들었습니다. Microsoft는 보안 업데이트에서 관련 CVE를 패치했으며, Mashable도 이 사례가 왜 AI 도우미 보안에서 반복되는 문제를 보여주는지 정리했습니다.
쉽게 말하면, 위험은 “나쁜 사람이 내 계정으로 로그인했다”에만 있지 않습니다. 더 골치 아픈 점은 다음과 같습니다.
- 직원 본인은 원래 특정 메일이나 문서를 볼 권한이 있습니다.
- AI도 그 직원을 대신해 일하므로 그 내용을 읽을 수 있습니다.
- 외부 링크나 페이지가 AI가 처리할 콘텐츠 안에 지시를 숨깁니다.
- AI가 응답할 때 민감한 내용을 이미지 URL이나 다른 외부 요청에 넣도록 유도됩니다.
- 사용자가 명시적으로 복사해 붙여넣지 않았는데도 내부 데이터가 밖으로 전송될 수 있습니다.
그래서 “직원을 믿는다”만으로는 충분하지 않습니다. 직원은 그저 정상적으로 보이는 검색 링크를 클릭했을 뿐일 수 있습니다. 실제로 조작되는 것은 AI가 데이터를 읽고, 정리하고, 응답을 생성하는 그 과정입니다.
업무용 AI 검색을 도입하기 전, 데이터를 세 층으로 나누기
처음부터 “Copilot을 켤까 말까”를 묻지 마세요. 먼저 AI가 읽을 수 있는 데이터를 층으로 나누어야 합니다. 데이터마다 필요한 처리 방식이 다르기 때문입니다.
| 데이터 등급 | 예시 | AI가 사용할 수 있는 방식 | 먼저 추가해야 할 경계 |
|---|---|---|---|
| 일반 업무 데이터 | 공개 문서, 회의 안건, 일반 프로젝트 상태 | 요약, 검색, 할 일 정리에 사용 가능 | 출처를 남기도록 요구하고, 확인되지 않은 내용을 확정 사항처럼 쓰지 않게 하기 |
| 내부 민감 데이터 | 고객 명단, 견적, 계약서 초안, 내부 재무, 직원 정보 | 내부 맥락에서 찾기를 도와주는 용도로만 사용하고, 외부 페이지나 이미지 요청으로 가져가서는 안 됨 | 읽기 범위 제한, 질의 기록, 불필요한 외부 연결 차단 |
| 고위험 데이터 | 이중 인증(2FA) 일회용 인증 코드, 비밀번호 재설정 메일, 키, 미공개 거래 또는 법무 정보 | AI가 요약하거나 전달하거나 자동 응답에 사용해서는 안 됨 | 데이터 원천에서 격리해 AI 검색 범위에 들어가지 않게 하기 |
이 표가 막으려는 것은 사람이 다운로드 버튼을 누르는 행위가 아니라, AI의 응답 자체가 출구가 되는 상황입니다. 핵심은 “사람이 볼 수 있다”와 “AI가 자유롭게 처리해도 된다”는 같지 않다는 점입니다. 사람은 이중 인증(2FA) 일회용 인증 코드를 보면 보통 민감한 정보라는 것을 압니다. 하지만 AI가 그것을 단순한 메일 내용으로만 인식하면, 악의적인 지시에 따라 응답이나 URL 안에 넣을 수 있습니다.
사고 뒤에 물어야 할 것은 누가 링크를 눌렀는지가 아니라 어떤 경계가 없었는지입니다
팀이 방어선을 “수상한 링크 누르지 마세요”에만 두면, AI 워크플로의 책임을 마지막 사용자에게 전부 떠넘기는 셈입니다. SearchLeak 유형의 사례는 사후 리뷰 표로 점검하는 편이 더 적합합니다. 어느 단계가 애초에 통과되어서는 안 되었을까요?
| 리뷰 질문 | 답이 불분명하다면 의미하는 위험 | 다음 단계 |
|---|---|---|
| AI 검색은 어떤 메일함, 문서, 채팅 기록을 읽을 수 있는가? | 권한이 사용자 계정을 따라 확대되며, AI가 실제로 볼 수 있는 범위를 아무도 모름 | 먼저 데이터 소스를 조사하고, AI 검색이 필요 없는 고위험 폴더를 제거하기 |
| AI 응답이 외부 이미지, 양식, 링크를 로드할 수 있는가? | 응답 자체가 데이터 반출 통로가 될 수 있음 | 콘텐츠 보안 정책, 허용 도메인, HTML 렌더링 규칙 점검 |
| 검색 링크의 파라미터가 AI에게 지시로 해석될 수 있는가? | 정상적으로 보이는 링크 하나가 숨겨진 지시를 AI에게 실행시킬 수 있음 | 검색 파라미터를 정리하고, 비정상적으로 길거나 HTML이 포함된 검색 URL을 모니터링하기 |
| 민감 데이터가 AI에게 읽혔을 때 마스킹이나 응답 거부 규칙이 있는가? | AI가 인증 코드, 키, 고객 데이터를 일반 텍스트 요약 대상으로 취급할 수 있음 | 고위험 형식은 마스킹하고, 일회용 인증 코드는 AI 검색에서 제외하기 |
| AI 검색의 이상 기록은 누가 확인하는가? | 시스템에 기록이 있어도 사고 전에 의심 패턴을 발견하는 사람이 없음 | 담당자를 지정하고, 반출 요청, 이상 질의, 응답 거부 기록을 정기적으로 점검하기 |
모든 회사를 보안 연구팀으로 만들자는 이야기가 아닙니다. “AI가 자료 읽기를 도와준다”는 사실을 새로운 프로세스 지점으로 취급하자는 것입니다. 프로세스 지점이라면 데이터 범위, 외부 연결, 모니터링, 수동 처리 방식이 있어야 합니다.
어떤 상황에서는 아직 확대하지 않는 편이 좋습니다
업무용 AI 검색은 유용하지만, 아래와 같은 상황에서는 사용 범위를 서둘러 넓히지 않는 편이 좋습니다.
| 아직 확대하지 말아야 할 상황 | 먼저 열지 않는 이유 |
|---|---|
| 폴더 권한을 여러 해 동안 정리하지 않음 | AI가 퇴사자, 타 부서, 오래된 프로젝트 멤버의 이전 권한까지 함께 상속할 수 있음 |
| 메일함에 일회용 인증 코드나 재설정 링크가 자주 들어옴 | 이런 내용은 AI가 검색, 요약, 전달하기에 적합하지 않으므로 먼저 프로세스를 조정하거나 격리해야 함 |
| AI 응답에 외부 콘텐츠가 삽입됨 | 응답이 이미지, 양식, 외부 URL을 로드할 수 있다면 가능한 데이터 반출 경로로 봐야 함 |
| 감사 로그를 보는 사람이 없음 | 기록은 있지만 책임지고 확인하는 사람이 없다면, 사고를 미리 발견하는 도구가 아니라 사고 뒤 설명 자료가 될 뿐임 |
| 사용자가 AI가 어떤 데이터를 읽었는지 모름 | 화면에 답변 한 단락만 보이고 출처와 가시 범위가 불분명하면, 직원은 그 답을 사용해도 되는지 판단하기 어려움 |
사용하지 않을 사례를 구분하는 것도 중요합니다. 가끔 공개 문서를 정리하는 정도이거나 회사 데이터 권한이 아직 매우 혼란스럽다면, 전역 검색을 바로 켜는 것보다 범위가 작고 복사·붙여넣기로 통제할 수 있는 AI 초안 작성 흐름이 더 안전할 수 있습니다.
작은 팀이 먼저 할 수 있는 세 가지
첫째, “AI가 읽어야 할” 데이터만 정리하지 말고 “AI가 읽어서는 안 되는” 데이터를 먼저 정리하세요. 일회용 인증 코드, 비밀번호 재설정 메일, 키, 법무 관련 미공개 문서에는 더 명확한 격리 방식이 있어야 합니다.
둘째, AI 검색의 외부 상호작용을 점검 항목으로 만드세요. 외부 링크를 열 수 있는가? 이미지를 로드할 수 있는가? 어떤 도메인이 허용되어 있는가? 검색 파라미터가 그대로 AI에게 전달되는가? 이런 질문들이 “모델이 몇 버전인가”보다 유출 위험에 더 직접적으로 영향을 줍니다.
셋째, 이 일을 책임질 사람을 지정하세요. 막연히 “IT가 볼 거예요”라고 하지 말고, 누가 매주 이상 검색을 확인하는지, 누가 보안 알림을 받는지, 누가 AI 검색 권한을 일시 중지할 수 있는지, 누가 영향을 받은 데이터 소유자에게 알리는지를 명확히 적어두어야 합니다.
AI 검색의 가치는 업무 데이터를 더 빨리 찾게 해주는 데 있습니다. 위험도 마찬가지로 데이터가 원래 경계를 더 빨리 넘어가게 만든다는 데 있습니다. 도입 전에 어떤 데이터는 읽을 수 있고, 어떤 데이터는 밖으로 나가면 안 되며, 어떤 요청은 차단해야 하는지 먼저 분명히 그어두어야 합니다. 그래야 유출이 난 뒤에야 진짜 부족했던 것이 AI 능력이 아니라 데이터 경계였다는 사실을 깨닫지 않을 수 있습니다.
생활 4컷 만화
- 팀은 업무용 AI를 빠르게 자료를 찾아주는 도우미로 사용합니다.
- 외부 콘텐츠가 숨겨진 지시를 AI에게 처리하게 하려 합니다.
- AI의 응답이 외부 요청을 로드할 수 있다면, 데이터 반출 경로가 될 수 있습니다.
- 팀은 데이터 분류, 외부 연결 제한, 수동 모니터링으로 읽을 수 있는 것과 밖으로 가져갈 수 있는 것을 구분합니다.
AI 정리 카드
이 글의 상황에 맞춰 AI에게 정리하게 하기
자신의 AI 채팅 도구에 붙여 넣으면 이 미니 클래스를 개인용 체크리스트로 바꿀 수 있습니다. BMC는 사용자가 AI에 붙여 넣은 내용을 볼 수 없습니다.
참고 자료
- Varonis Threat Labs:SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon — https://www.varonis.com/blog/searchleak
- Microsoft Security Response Center:CVE-2026-42824 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- Mashable:This Copilot vulnerability could expose emails, 2FA codes, and other sensitive data — https://mashable.com/tech/searchleak-microsoft-copilot-ai-assistant-vulnerability-report
