캘린더 초대와 ChatGPT의 Gmail 연동: 공격 패턴
2025년 9월 12일, 보안 연구원 Eito Miyamura는 아마도 최초이지만 분명히 마지막은 아닐 종류의 익스플로잇을 시연했다: 악성 Google Calendar가 ChatGPT에 프롬프트를 주입하고, 이것이 Gmail과 연결되어 있을 때 응답으로 비공개 이메일이 유출된다. 물론 몇 가지 전제 조건이 있다 — AI와 Gmail 사이의 연결을 설정해야 하고, 알 수 없는 초대가 끼어들 수 있을 정도로 Google Calendar를 적극적으로 사용해야 한다 — 하지만 이런 패턴은 공격 범위를 넓히는 방향으로 진화하는 경향이 있으므로, 지금 무슨 일이 일어나고 있는지와 어떻게 스스로를 보호할 수 있는지 아는 것이 가장 좋다. 아래에서 두 가지 모두를 확인하라.
악성 Google Calendar 초대: 그 이면
여기서 사용된 무기는 “간접 프롬프트 인젝션”이다. 이는 웹사이트, 이메일, 캘린더 초대, 문서 등 모델이 처리하는 외부 데이터 안에 악성 지시를 삽입해, AI의 성실함을 악용한다. Google Calendar 초대와 ChatGPT의 Gmail 연동 사례에서는, AI가 정상적으로 초대를 받아들이는 과정에서 초대에 숨겨진 명령에 속아 이메일을 넘겨주었다(한번 연결되면 많은 항목에 접근할 수 있다).
“프롬프트 인젝션”이라는 용어는 2022년 Simon Willison이 만들었다; 그는 공격자가 SQL 인젝션과 매우 유사한 방식으로 AI에 지시를 내릴 수 있는 방법을 설명했다. 이름에서 알 수 있듯, “간접 프롬프트 인젝션”은 그 지시를 겉보기엔 안전해 보이는 층 아래에 숨긴다. 이 용어 자체는 Kai Greshake와 NVIDIA 팀의 공로로 알려져 있으며, 그들은 2025년에 이 공격 패턴을 정식화하고 이에 대한 방어 전략을 기술했다.
간접 프롬프트 인젝션이 관련된 공격으로부터 자신을 보호하려면?
인공지능 사용을 완전히 피하려고 해봐야 소용없다. 오늘은 원하는 만큼 격리할 수 있을지 몰라도, 내일이면 대형 언어 모델이 제공자 측 서비스에 통합되어 계정에서 그것들을 분리할 방법이 아예 없어질 수 있다. 더구나 그런 연결이 있는지조차 모를 수도 있다. 그렇다면 자산을 지키기 위해 무엇을 할 수 있을까?
- 경계심. 무엇보다 경계를 늦추지 말고, 의심스러운 것은 캘린더나 AI를 활용하는 다른 시스템에 절대 들이지 말라.
- 정돈. 설정을 깔끔히 유지하라. 이메일에 ChatGPT가 정말 필요하지 않다면 비활성화하라. 기능을 써보고 마음에 들었을 수 있지만, 실사용 사례가 없다면 — 주저하지 말고, 미루지 말라.
- 제한. 오늘날의 AI 통합도 모델이 무엇을 다루고 어떤 조건에서 데이터에 접근할 수 있는지에 대해 더 많은 통제를 제공하도록 맞춤 설정할 수 있다. 모든 자동 절차를 비활성화하는 것을 고려하라. 수동 승인 단계가 늘어나겠지만, 그 편이 더 안전하다.
- 기존 안전장치. 예를 들어 Google Calendar에서는 알려진 발신자에게서만 초대를 허용하도록 설정할 수 있다. 이것도 안전장치다. 가능한 경우라면 이런 기능을 활용하라.
OpenAI도 문제를 인정하고 커넥터 비활성화를 권고했다. 회사는 이러한 공격에 대한 방어책을 마련하고 있지만, 방패와 칼의 경쟁이므로 선제적 보안 제품을 갖추는 것이 합리적이다. 여기에서 찾아보라:
