마이크로소프트는 2026년 6월 9일 M365 Copilot 플랫폼에서 2FA 코드 등 민감 정보를 탈취하는 치명적인 취약점을 발견하고 패치를 완료했다. 보안 기업 Varonis가 명명한 'SearchLeak'이라는 이 공격 기법은, URL 내 악의적인 쿼리 매개변수를 조작해 모델이 승인되지 않은 명령을 수행하도록 유도하여 기존 보안 가드레일을 우회한다.

이 공격은 프롬프트 인젝션의 일종인 매개변수-프롬프트 인젝션 기술을 사용한다. 공격자가 악성 명령을 포함한 특수 URL을 생성해 타겟에게 전달하면, 사용자가 이를 클릭하는 순간 Copilot은 해당 숨겨진 명령을 정상적인 요청으로 해석한다. 연구진은 마이크로소프트의 기존 보안 가드레일이 모델의 초기 처리 단계 이후에만 작동한다는 점을 악용했다. Copilot이 '생각'하는 과정에서 브라우저가 즉시 처리하는 원시 HTML을 생성하는데, 이 단계에서 보안 필터가 출력물을 차단하기 전에 악성 HTTP 요청이 실행된다.

해당 공격은 정보 유출 방지 정책을 회피하기 위해 마이크로소프트의 검색 엔진인 빙을 중계기로 활용한다. Copilot은 빙에 요청을 보낼 권한이 있기 때문에, 공격자는 빙의 이미지 검색 기능을 이용해 악성 이미지 요청을 공격자가 제어하는 서버로 전송할 수 있다. 이를 통해 사용자가 접근 가능한 이메일, SharePoint 문서, OneDrive 파일 등 모든 정보가 탈취될 수 있다. 2026년 6월 14일 해당 취약점에 대한 패치는 배포되었으나, LLM이 사용자 의도와 외부 콘텐츠에 포함된 악성 명령을 구분하지 못하는 근본적인 보안 과제는 여전히 남아 있어 향후 유사한 우회 공격이 계속될 가능성이 높다.

마이크로소프트는 2026년 6월 9일 M365 Copilot 플랫폼에서 2FA 코드 등 민감 정보를 탈취하는 치명적인 취약점을 발견하고 패치를 완료했다. 보안 기업 Varonis가 명명한 'SearchLeak'이라는 이 공격 기법은, URL 내 악의적인 쿼리 매개변수를 조작해 모델이 승인되지 않은 명령을 수행하도록 유도하여 기존 보안 가드레일을 우회한다.

이 공격은 프롬프트 인젝션의 일종인 매개변수-프롬프트 인젝션 기술을 사용한다. 공격자가 악성 명령을 포함한 특수 URL을 생성해 타겟에게 전달하면, 사용자가 이를 클릭하는 순간 Copilot은 해당 숨겨진 명령을 정상적인 요청으로 해석한다. 연구진은 마이크로소프트의 기존 보안 가드레일이 모델의 초기 처리 단계 이후에만 작동한다는 점을 악용했다. Copilot이 '생각'하는 과정에서 브라우저가 즉시 처리하는 원시 HTML을 생성하는데, 이 단계에서 보안 필터가 출력물을 차단하기 전에 악성 HTTP 요청이 실행된다.

해당 공격은 정보 유출 방지 정책을 회피하기 위해 마이크로소프트의 검색 엔진인 빙을 중계기로 활용한다. Copilot은 빙에 요청을 보낼 권한이 있기 때문에, 공격자는 빙의 이미지 검색 기능을 이용해 악성 이미지 요청을 공격자가 제어하는 서버로 전송할 수 있다. 이를 통해 사용자가 접근 가능한 이메일, SharePoint 문서, OneDrive 파일 등 모든 정보가 탈취될 수 있다. 2026년 6월 14일 해당 취약점에 대한 패치는 배포되었으나, LLM이 사용자 의도와 외부 콘텐츠에 포함된 악성 명령을 구분하지 못하는 근본적인 보안 과제는 여전히 남아 있어 향후 유사한 우회 공격이 계속될 가능성이 높다.