[보안뉴스]챗GPT에 파일 올렸을 뿐인데...내 원드라이브 다 노출된다고?

뉴스 요약

Microsoft OneDrive에 연결된 앱들이 사용자 동의 없이 전체 폴더에 접근 가능한 보안 취약점이 발견되었습니다. ChatGPT와 같은 앱이 OneDrive에 파일을 업로드할 때, 업로드 대상 파일뿐 아니라 다른 파일까지 열람 및 수정할 수 있는 권한을 갖게 되는 문제입니다. 이는 OneDrive의 광범위한 접근 권한 부여 방식에서 기인한 것으로 보입니다.

핵심 포인트

• OneDrive 연동 앱의 과도한 접근 권한 문제
• 사용자 파일 무단 열람 및 수정 가능성
• ChatGPT를 비롯한 다양한 앱에서 발생 가능
• OneDrive의 접근 권한 관리 방식 개선 필요

기술 세부 내용

1️⃣ OneDrive 접근 권한 문제

• OneDrive와 연동되는 앱들은 사용자가 특정 파일을 업로드할 때, 해당 파일만 접근하는 것이 아니라 OneDrive 전체 저장 공간에 대한 접근 권한을 획득하는 것으로 드러났습니다.
• 이는 사용자가 의도하지 않은 정보 유출로 이어질 수 있는 심각한 보안 위협입니다.
• 예를 들어, 사용자가 ChatGPT에 특정 문서 파일 하나를 업로드하려고 할 때, ChatGPT는 해당 파일뿐 아니라 OneDrive에 저장된 다른 개인 정보, 사진, 비디오 등 모든 파일에 접근할 수 있습니다.
• 이러한 접근 권한은 사용자 인터페이스 상에서 명확하게 고지되지 않아, 사용자는 자신도 모르게 개인 정보를 노출시킬 위험에 처해 있습니다.

2️⃣ OAuth 2.0의 광범위한 권한 위임

• OneDrive의 이러한 접근 권한 문제는 OAuth 2.0 프로토콜의 광범위한 권한 위임 방식과 관련이 있을 수 있습니다. OAuth 2.0은 써드파티 앱이 사용자 대신 특정 리소스에 접근할 수 있도록 허용하는 인증 프로토콜입니다.
• OneDrive는 앱에 접근 권한을 부여할 때, 세분화된 권한 설정(e.g., 특정 폴더 또는 파일 접근)을 제공하는 대신, 전체 저장 공간에 대한 접근 권한을 부여하는 것으로 보입니다.
• 이는 편의성을 높일 수는 있지만, 보안 측면에서는 심각한 취약점으로 작용할 수 있습니다.

3️⃣ 잠재적 위협 및 대응 방안

• 이러한 취약점은 악의적인 앱이 사용자의 OneDrive 데이터를 탈취하거나 조작하는 데 악용될 수 있습니다.
• 따라서 OneDrive는 앱 권한 관리 방식을 개선하고, 사용자에게 더 세분화된 접근 권한 설정 옵션을 제공해야 합니다. ⚙️
• 또한, 사용자는 OneDrive에 연결하는 앱을 신중하게 선택하고, 앱 권한을 주기적으로 검토하여 불필요한 접근 권한을 제거하는 것이 중요합니다. ✅
• OneDrive와 같은 클라우드 서비스를 이용할 때, 중요한 파일은 별도의 보안 폴더에 저장하거나 암호화하는 등의 추가적인 보안 조치를 취하는 것이 좋습니다. ️

 

출처: http://www.boannews.com/media/view.asp?idx=137462&kind=&sub_kind=