8개월 새 두 차례 민감도 무시한 Microsoft Copilot, DLP도 놓쳤다

Microsoft Copilot 신뢰 경계 위반 개요

2026년 1월 21일부터 약 4주 동안 Microsoft Copilot이 민감도 레이블과 DLP 정책으로 접근이 금지된 기밀 이메일을 읽고 요약했다. 집행 지점이 마이크로소프트 자체 파이프라인 내부에서 실패했으며, 보안 스택 어떤 도구도 이를 경보로 잡지 못했다. 영향 범위에는 영국 NHS(INC46740412)가 포함됐고, 마이크로소프트는 해당 이슈를 CW1226324로 추적했다. 이는 8개월 새 Copilot 검색 파이프라인이 자체 신뢰 경계를 위반한 두 번째 사례다.

왜 EDR와 WAF는 구조적으로 보지 못했나

EDR는 파일·프로세스 행위를, WAF는 HTTP 페이로드를 감시한다. 그러나 LLM 검색(RAG) 파이프라인은 전통 보안 도구가 관찰하도록 설계되지 않은 집행 계층 뒤에서 동작한다. 이번 위반은 마이크로소프트 인프라 내부, 검색 인덱스와 생성 모델 사이에서 일어났고, 디스크 기록·경계 트래픽 이상·엔드포인트 프로세스 생성이 전혀 없어 보안 스택이 관측하지 못했다.

두 가지 다른 원인, 동일한 결과

CW1226324: 보낸 편지함·임시보관함에서 민감 메일 노출

마이크로소프트 공지에 따르면 코드 경로 오류로 인해 보낸 편지함과 임시보관함의 메시지가 민감도 레이블·DLP 규칙을 무시하고 Copilot 검색 집합에 포함됐다. 이로써 Microsoft Copilot은 접근이 금지된 데이터를 처리했지만, 어떤 보안 도구도 경보를 내지 못했다.

EchoLeak(CVE-2025-32711): 제로클릭 RAG 악용

2025년 6월 Aim Security가 보고한 EchoLeak은 악성 이메일 하나로 프롬프트 주입 분류기, 외부 링크 마스킹, CSP, 참조 멘션 보호 등 네 겹의 방어를 우회해 엔터프라이즈 데이터를 공격자 서버로 유출했다. 사용자 클릭이나 행위가 전혀 필요 없었고, CVSS는 9.3이었다. 연구진은 에이전트가 신뢰·비신뢰 데이터를 같은 사고 과정에서 처리하는 근본 설계 취약성을 지적했다. 이 설계 위험은 패치 후에도 남아 있으며, CW1226324는 그 주변 집행 계층이 독립적으로 실패할 수 있음을 보여준다.

보안 리더를 위한 5단 점검 가이드

Copilot 대상 DLP 강제 집행 직접 테스트

제어된 폴더에 레이블된 테스트 메일을 만들고 Copilot에 질의해 노출 불가를 확인한다. 설정이 곧 집행을 보장하지 않으며, 실패한 검색 시도가 유일한 증거다. 월 1회 반복을 권장한다.

Copilot 컨텍스트 창의 외부 콘텐츠 차단

EchoLeak은 외부 메일이 검색 집합에 들어오며 주입 명령이 사용자 질의처럼 실행돼 발생했다. Copilot 설정에서 외부 이메일 컨텍스트를 비활성화하고, AI 출력의 Markdown 렌더링을 제한해 공격면을 제거한다.

2026년 1~2월 Purview 로그 역감사

1월 21일부터 2월 중순까지 Copilot Chat이 레이블된 메시지에서 콘텐츠를 반환했는지 확인한다. 기존 EDR·WAF는 경보를 내지 못했으므로, 사후 탐지는 Purview 텔레메트리에 의존한다. 접근 내역을 복원할 수 없다면 그 격차를 공식 문서화하라.

SharePoint 민감 데이터에 RCD(Restricted Content Discovery) 적용

RCD는 민감 사이트를 Copilot 검색 파이프라인에서 완전히 제외한다. 코드 버그든 주입 공격이든 데이터가 아예 컨텍스트 창에 들어오지 않도록 하는 격리 계층으로, 신뢰 경계 위반과 무관하게 작동한다.

벤더 추론 파이프라인 사고 대응(IR) 플레이북

벤더 호스팅 추론 파이프라인 내부의 신뢰 경계 위반을 신규 시나리오로 정의하고, 에스컬레이션 경로·책임자·서비스 공지 모니터링 주기를 수립한다. 다음 위반도 SIEM 경보 없이 올 수 있다.

Copilot을 넘어선 함의와 이사회 대응

2026년 조사에 따르면 보안 리더의 47%가 이미 AI 에이전트의 의도치 않은·무권한 행위를 목격했다. 이 프레임은 특정 제품 전용이 아니다. 어떤 RAG 기반 어시스턴트든 검색 계층이 콘텐츠를 고르고, 집행 계층이 모델 가시성을 통제하며, 생성 계층이 출력을 만든다. 집행 계층이 실패하면 보안 스택은 여전히 보지 못한다. Copilot과 Google의 Gemini for Workspace 등 내부 문서 검색 권한을 가진 도구에는 동일한 구조적 위험이 있다. 다음 이사회 전 5단 점검을 수행하고, 통제된 폴더의 레이블 메일로 시작하라. Copilot이 이를 노출한다면, 그 아래 모든 정책은 보여주기일 뿐이다. 우리의 정책은 올바르게 구성됐으나, Microsoft Copilot 벤더 추론 파이프라인 내부의 집행이 실패했다는 사실과, 재가동 전 시험·제한·요구할 다섯 통제를 분명히 보고하라. 다음 실패는 경보를 보내지 않는다.