최근 마이크로소프트 오피스 버그 사태로 코파일럿 AI가 사용자의 기밀 이메일을 무단으로 요약하는 보안 사고가 발생했습니다. 데이터 손실 방지 정책마저 무력화된 이번 사건은 AI 도입을 서두르는 기업들에게 큰 경종을 울리고 있습니다. 실제 어떤 데이터가 노출되었고 현재 조치는 어떻게 이루어지고 있는지 핵심 내용을 정리했습니다.
코파일럿 AI가 기밀 이메일을 읽게 된 원인
이번 사고의 핵심은 유료 마이크로소프트 365 가입자들이 사용하는 코파일럿 챗 기능에서 발생했습니다. 원래대로라면 기업이 설정한 데이터 손실 방지 정책에 따라 민감한 정보는 AI가 건드리지 못해야 정상입니다. 하지만 시스템상의 오류로 인해 지난 1월부터 몇 주 동안 코파일럿이 기밀 라벨이 붙은 이메일 내용까지 모두 파악하고 요약본을 만들어낸 것으로 드러났습니다.
사용자가 워드나 엑셀 작업을 하면서 코파일럿에게 질문을 던질 때 시스템이 권한 밖의 이메일 데이터까지 긁어온 셈입니다. 마이크로소프트 측은 이를 관리자 페이지에서 CW1226324라는 코드로 추적하고 있으며 현재는 문제를 파악해 수정 작업을 진행 중이라고 밝혔습니다.
마이크로소프트 오피스 버그 CW1226324 정체
이번에 발견된 CW1226324 버그는 보낸 편지함뿐만 아니라 임시 저장된 이메일 초안까지도 코파일럿의 분석 대상으로 포함시켰습니다. 기밀 라벨이 적용된 메시지임에도 불구하고 코파일럿 챗이 이를 잘못 처리하면서 외부로 유출되어서는 안 될 비즈니스 전략이나 개인 정보가 AI의 답변에 포함될 위험이 컸던 것이죠.
이미 많은 기업이 업무 효율을 위해 코파일럿을 도입한 상태라 파장이 적지 않습니다. 마이크로소프트는 정확히 얼마나 많은 고객사가 이번 버그의 영향을 받았는지에 대해서는 구체적인 답변을 피하고 있는 상황입니다. 다만 2월 초부터 패치가 배포되기 시작했으므로 최신 업데이트 상태를 확인하는 것이 급선무입니다.
왜 보안 정책이 작동하지 않았을까
가장 당혹스러운 지점은 데이터 보호 정책이 설정되어 있었음에도 필터링이 작동하지 않았다는 점입니다. 기업들은 민감한 정보 유출을 막기 위해 라벨링 시스템을 적극 활용하는데 이번 버그는 이 방어선을 그대로 통과했습니다. 대규모 언어 모델이 데이터를 학습하거나 처리하는 과정에서 기존의 전통적인 보안 규칙과 충돌이 발생한 결과로 보입니다.
- 기밀 라벨이 적용된 이메일 오인식
- 데이터 손실 방지 필터의 무력화
- 임시 저장 메시지에 대한 과도한 접근 권한
이런 현상은 AI 기술의 발전 속도를 보안 인프라가 따라잡지 못할 때 발생하는 전형적인 사례입니다. 단순히 편리함을 위해 AI를 도입했다가 오히려 기업의 핵심 자산인 정보가 새나가는 결과를 초래한 것입니다.
내 비즈니스 데이터를 보호하는 방법
현재 마이크로소프트 365를 사용 중인 기업 보안 담당자라면 몇 가지 즉각적인 조치가 필요합니다. 이미 패치가 진행 중이라고는 하지만 조직 내 설정이 올바르게 반영되었는지 재점검해야 합니다.
- 관리 센터에서 CW1226324 관련 공지 확인하기
- 코파일럿의 데이터 접근 권한 범위 재설정
- 임시 저장된 민감 이메일의 즉각적인 삭제 또는 보호 강화
무엇보다 중요한 것은 AI가 참조할 수 있는 데이터의 범위를 최소화하는 것입니다. 모든 이메일 권한을 개방하기보다 꼭 필요한 영역만 AI가 접근할 수 있도록 화이트리스트 기반의 정책을 수립하는 것이 안전합니다.
유럽 의회가 AI 기능을 전면 차단한 이유
이번 사건의 여파로 유럽 의회 IT 부서는 의원들의 업무용 기기에서 기본 내장 AI 기능을 차단하라는 지시를 내렸습니다. 의회 내에서 주고받는 기밀 서신이 클라우드로 업로드되거나 AI 학습에 사용될 수 있다는 우려 때문입니다.
이는 단순히 기술적인 버그 문제를 넘어 국가적 수준의 보안 위협으로 간주되고 있다는 증거입니다. 개인적인 이메일 한 통이 AI 요약본을 통해 다른 사람에게 노출될 수 있다는 가능성만으로도 공공기관이나 대기업 입장에서는 치명적인 리스크가 될 수밖에 없습니다.
기업용 AI 보안 사고를 예방하는 법
앞으로 AI 툴을 업무에 활용할 때는 기능적인 편리함보다 보안 프로토콜을 우선순위에 두어야 합니다. 마이크로소프트 오피스 버그 사례처럼 소프트웨어 제조사 측의 실수로 보안이 뚫리는 경우에 대비해 이중 안전장치를 마련하는 것이 필요합니다.
- 민감 정보 전송 시 별도의 암호화 솔루션 병행 사용
- AI 사용 로그에 대한 주기적인 모니터링 실시
- 임직원 대상 AI 활용 보안 가이드라인 배포
특히 무료 버전이 아닌 유료 기업용 AI를 사용하더라도 데이터가 어떻게 처리되는지 투명하게 공개하는 서비스를 선택하는 안목이 중요해졌습니다. 이번 사건은 클라우드 기반 AI 서비스에 전적으로 의존하는 것이 얼마나 위험할 수 있는지를 보여주는 사례입니다.
이번 데이터 유출 사고의 마무리
결국 기술의 발전은 보안이라는 튼튼한 기반 위에서만 가치를 발휘할 수 있습니다. 마이크로소프트 오피스 버그로 인한 이번 사고는 일단락되어가고 있지만 AI와 데이터 프라이버시 사이의 갈등은 앞으로 더 빈번해질 것입니다. 사용자들은 자신이 사용하는 AI 툴이 어떤 데이터를 읽고 있는지 항상 경계하고 정기적으로 보안 설정을 업데이트하는 습관을 가져야 합니다. 업무 효율성을 챙기되 소중한 정보가 요약이라는 이름으로 새나가지 않도록 각별한 주의가 필요한 시점입니다.
출처: https://techcrunch.com/2026/02/18/microsoft-says-office-bug-exposed-customers-confidential-emails-to-copilot-ai/
함께 보면 좋은 글
#마이크로소프트 #코파일럿AI #보안사고 #이메일유출 #마이크로소프트오피스버그 #M365 #데이터프라이버시 #IT보안 #사이버뉴스 #AI보안