Microsoft Copilot이 8개월 동안 두 번 민감도 레이블을 무시해 NHS 기록을 포함한 기업 데이터를 노출시켰다

Microsoft Copilot 보안 실패: 무너진 신뢰의 타임라인

8개월 사이 두 번째로, Microsoft의 플래그십 AI 비서인 Copilot이 기업 도입의 안전을 위해 설계된 보안 프로토콜을 우회하는 것이 발견되었습니다. 2026년 초반 내내 지속된 이 중대한 버그로 인해 AI는 "기밀(Confidential)"로 명시적으로 표시된 이메일을 읽고 요약하고 노출할 수 있었으며, 이는 데이터 손실 방지 (Data Loss Prevention, DLP) 정책을 우회하고 영국의 국가 보건 서비스(NHS)를 포함한 주요 조직 전반의 민감한 데이터를 노출시켰습니다.

거의 4주 동안 민감한 기록을 취약하게 방치한 이번 최신 사건은 단순한 일시적 결함이 아닙니다. 이는 2025년 6월에 발견된 심각한 취약점에 이은 것으로, 현대 AI 보안 스택의 "시스템적 사각지대(systemic blind spot)"에 대한 우려스러운 상황을 보여줍니다. 기업들이 생성형 AI (Generative AI)를 서둘러 배포함에 따라, 이러한 반복적인 실패는 시급한 질문을 던집니다: DLP 및 민감도 레이블 (sensitivity labels)과 같은 기존 보안 프레임워크가 실행 중에 대규모 언어 모델 (Large Language Models, LLMs)을 진정으로 제어할 수 있을까요?

2026년 2월 사건: "기밀" 레이블 우회

2026년 1월 말, Microsoft 365 Copilot의 코드 수준 결함으로 인해 조직이 가장 민감한 통신을 보호하기 위해 의존하는 "신뢰 경계"가 사실상 비활성화되었습니다. Microsoft가 **CW1226324**로 추적한 이 버그를 통해 AI 비서는 "고도 기밀(Highly Confidential)"과 같은 제한적인 민감도 레이블이 붙어 있거나 활성 DLP 정책이 적용된 경우에도 사용자의 "보낸 편지함" 및 "임시 보관함" 폴더에 저장된 이메일에 액세스하고 처리 및 요약할 수 있었습니다.

정상적인 운영 상태에서 민감도 레이블은 AI에게 디지털 "진입 금지" 표지판 역할을 합니다. 문서에 "기밀" 레이블이 지정되면, Copilot은 검색 증강 생성 (Retrieval-Augmented Generation, RAG) 프로세스 중에 이를 무시해야 할 계약적 및 기술적 의무가 있습니다. 그러나 2026년 1월 21일부터 2월 19일까지 약 28일 동안 특정 Outlook 폴더에서 이 메커니즘이 작동하지 않았습니다.

그 영향은 규제 대상 부문에서 뼈저리게 느껴졌습니다. 방대한 양의 개인 환자 데이터를 관리하는 NHS는 이 사건을 내부적으로 INC46740412로 분류했습니다. 거의 한 달 동안 일상적인 행정 업무를 위해 Copilot을 활용한 직원들은 AI 모델에 보이지 않아야 했던 보호 대상 건강 정보 (Protected Health Information, PHI)나 내부 전략 문서를 의도치 않게 노출시켰을 수 있습니다.

Microsoft는 이후 수정 사항을 배포하고 이 버그가 "이미 볼 권한이 없는 정보에 누구에게도 액세스 권한을 제공하지 않았다"고 밝혔지만, 이번 실패는 AI 거버넌스 (AI Governance)의 핵심 약속, 즉 AI가 무시하도록 지시받은 데이터를 처리하지 않을 것이라는 약속을 훼손합니다. 법적 또는 규정 준수 맥락에서 AI 모델이 제한된 데이터를 단순히 처리하는 것(특권적인 법률 초안이나 환자 기록을 요약하는 것)만으로도 정책 위반이 될 수 있습니다.

취약성 패턴: EchoLeak 사례

2026년 2월의 실패는 1년도 채 되지 않아 발생한 Copilot 보안 아키텍처에 대한 두 번째 큰 타격입니다. 8개월 전인 2025년 6월, 연구원들은 "EchoLeak"(CVE-2025-32711)이라는 중대한 취약점을 공개했습니다.

레이블의 기능적 실패였던 2월의 버그와 달리, EchoLeak은 정교한 "제로 클릭" 익스플로잇이었습니다. 이를 통해 공격자는 평범해 보이는 이메일에 숨겨진 명령을 삽입할 수 있었습니다. Copilot이 이 이메일을 처리할 때 숨겨진 프롬프트가 AI의 컨텍스트 창을 "하이재킹"하여, 사용자가 침해 사실을 깨닫기도 전에 민감한 데이터를 검색하여 공격자에게 유출하도록 강제했습니다.

두 사건 모두 위험한 현실을 드러냅니다: Microsoft의 보안 제어 기능이 LLM의 복잡하고 비결정적인 특성을 따라잡는 데 어려움을 겪고 있다는 것입니다.

최근 Copilot 보안 실패 비교

사건 이름	활성 날짜	근본 원인	실패 메커니즘
EchoLeak (CVE-2025-32711)	2025년 6월	LLM 범위 위반	악성 프롬프트 주입을 통해 공격자가 RAG 검색을 가로채고 데이터를 유출할 수 있었습니다.
DLP 우회 (CW1226324)	2026년 1월 - 2월	기능 코드 결함	Copilot이 특정 Outlook 폴더(임시 보관함/보낸 편지함)의 민감도 레이블을 무시하고 기밀 데이터를 요약했습니다.

시스템적 사각지대: 런타임 보안 대 정적 보안

이러한 문제의 재발은 기존 데이터 보안과 생성형 AI의 작동 방식 사이의 근본적인 단절을 강조합니다.

DLP 및 민감도 레이블과 같은 레거시 도구는 정적(static) 또는 트랜잭션(transactional) 보호를 위해 설계되었습니다. 이들은 "사용자 A가 파일 B를 열 권한이 있는가?", "이 이메일에 신용카드 번호가 포함되어 있는가?"와 같은 이진법적인 질문을 던집니다.

그러나 AI Copilot은 **실행 시점(runtime)**에 동적으로 작동합니다. 이들은 RAG를 사용하여 수천 개의 문서에서 수 밀리초 내에 정보 파편을 스캔, 검색 및 합성합니다.

컨텍스트 격차: 2월 사건에서 볼 수 있듯이, AI의 검색 로직에 버그가 있으면 이를 차단해야 하는 메타데이터 태그(레이블)를 단순히 무시합니다.
해석 격차: EchoLeak에서 볼 수 있듯이, AI는 악성 데이터를 명령으로 해석하도록 속아 멀웨어 시그네처만 확인하는 정적 방화벽을 우회할 수 있습니다.

보안 전문가들은 "권한 적용"만으로는 더 이상 충분하지 않다고 점점 더 경고하고 있습니다. AI 계층 자체에는 누가 데이터에 액세스하고 있는지뿐만 아니라 AI가 실시간으로 그 데이터로 무엇을 하고 있는지 검증하는 전용 방화벽이 필요합니다.

업계에 미치는 영향: 신뢰 적자

CIO 및 CISO에게 "8개월 사이 두 번"이라는 타임라인의 의미는 심각합니다. NHS 노출 사례는 고위험 환경에서 공급업체 고유의 보안 제어에 의존하는 리스크에 대한 강력한 사례 연구 역할을 합니다.

기업 리더를 위한 주요 시사점:

신뢰보다 검증: 조직은 더 이상 "DLP 켜짐"으로 설정하는 것이 AI 규정 준수를 보장한다고 가정할 수 없습니다. AI 구현에 대한 독립적인 감사 및 "레드 팀(Red Teaming)" 활동이 필수가 되고 있습니다.
데이터 위생: "임시 보관함" 및 "보낸 편지함" 폴더 루프홀은 데이터 위생이 매우 중요하다는 것을 시사합니다. 오래된 초안에는 필터링되지 않은 생각이나 민감한 데이터가 포함된 경우가 많으며, 이것이 AI에 의해 다시 노출될 경우 평판 실추를 초래할 수 있습니다.
주권 문제: 데이터 문제로 인해 이전에 Copilot 출시를 중단했던 유럽 의회 및 기타 정부 기관과 마찬가지로, 이러한 기술적 실패는 중요한 데이터를 범용 LLM으로부터 물리적으로 격리하는 "주권형 AI(sovereign AI)" 접근 방식의 타당성을 입증합니다.

Microsoft는 이러한 취약점을 패치하기 위해 움직였지만, 이러한 대형 사고가 발생하는 빈도는 기업용 AI의 아키텍처가 여전히 자리를 잡아가고 있음을 시사합니다. 정적 권한과 동적 AI 처리 사이의 "사각지대"가 해결될 때까지, 기업은 단 한 번의 업데이트만으로도 다음 데이터 노출 위험에 직면하게 될 것입니다.