ChatGPT for Google Sheets exfiltrates workbooks

개요

ChatGPT for Google Sheets 확장 프로그램에서 발견된 취약점을 통해 사용자의 승인 없이도 작업 파일을 유출하거나 피싱 공격을 수행할 수 있습니다.

주요 내용

• 취약점 요약: ChatGPT for Google Sheets 확장 프로그램은 사용자가 명시적으로 인간의 승인을 요구하도록 설정했음에도 불구하고, 인간의 개입 없이도 공격자가 제어하는 외부 스크립트를 실행시킬 수 있습니다.
• 공격 방식: 신뢰할 수 없는 데이터 소스(예: 가져온 시트 또는 ChatGPT 커넥터)의 데이터를 통해 ChatGPT를 조작하여, 사용자가 확장 프로그램에 부여한 권한을 이용하는 공격자가 제어하는 외부 스크립트를 실행시킵니다.
• 주요 공격 효과:
• 사용자 계정 전반의 다수 작업 파일 유출 (Exfiltration of many workbooks)
• 대화형 피싱 팝업 표시 (Display of an interactive phishing pop-up)
• GPT 사이드바 전체를 공격자 제어 챗봇 인터페이스로 덮어쓰기 (Overwriting the entire GPT sidebar with an attacker-controlled chatbot interface)
• 공격자가 제어하는 작업 파일 편집 (Attacker-controlled edits to your workbooks)
• 데이터 유출 과정: 공격자가 제어하는 스크립트는 사용자의 작업 파일을 유출하고, 유출된 데이터에서 다른 작업 파일의 링크를 식별하여 해당 파일까지 연쇄적으로 유출합니다.
• 피싱 공격 변형:
• 변형 1: 공격자가 제어하는 사이트로 ChatGPT for Google Sheets 확장 프로그램을 덮어쓰는 사이드바를 열어, 사용자를 속여 접속을 유도하고 프롬프트 탈취, 가짜 챗봇 제공, 커넥터 재연결 유도, OpenAI 계정 정보 탈취 등을 시도합니다.
• 변형 2: 사용자의 자격 증명을 탈취하기 위한 공격자 제어 웹사이트를 렌더링하는 팝업 모달을 엽니다.
• OpenAI의 대응: OpenAI는 해당 취약점을 인지한 후 Apps Script 코드 생성 기능을 제거하고, Google Sheets API와의 상호 작용 방식을 재검토하며 샌드박싱 접근 방식을 재평가하고 있다고 밝혔습니다. 또한 유사한 기능에 대한 재검토를 진행하여 방어 체계를 강화할 예정입니다.
• 책임 있는 공개 (Responsible Disclosure): 해당 취약점은 OpenAI에 책임 있게 공개되었으나, 초기 자동 응답 외에 소통이 이루어지지 않아 발견 내용을 공개하게 되었습니다.

시사점

이 취약점은 AI 확장 프로그램이 사용자에게 부여된 권한을 악용하여 민감한 데이터를 유출하고 보안을 위협할 수 있음을 보여주며, AI 서비스 제공업체는 기능적 제한뿐만 아니라 모델 조작 및 잠재적 위험에 대한 포괄적인 문서화와 강력한 보안 조치를 제공해야 함을 시사합니다.