[보안뉴스 한세희 기자] 마이크로소프트 클라우드 서비스인 원드라이브에 연동 앱들이 사용자 폴더 전체를 들여다볼 수 있는 보안 허점이 있는 것으로 드러났다.

원드라이브에 저장된 파일을 챗GPT에 올릴 때, 챗GPT 앱이 업로드되는 파일뿐 아니라 원드라이브 저장 공간 안에 있는 다른 파일을 모두 보거나 수정할 수 있다는 것이다.

이는 원드라이브에서 업로드할 파일을 선택할 때 쓰는 ‘원드라이브 파일 피커’(OneDrive File Picker) 기능의 허점 때문이다. 사용자가 올리기로 선택한 파일 외의 다른 파일에까지 광범위한 접근 권한을 주는 것이다.


[자료: 오아시스]

이 오류를 처음 발견한 사이버 보안 기업 오아시스는 28일(현지시간) 공개한 보고서에서 “챗GPT나 슬랙, 트렐로 등 주요 업무용 앱 사용자 수백만 명이 이미 이들 앱에 자기 원드라이브에 대한 포괄적 접근 권한을 허가했을 수 있다”며 “이는 사용자 데이터 유출이나 컴플라이언스 규정 위반 등 심각한 결과로 이어질 수 있다”고 밝혔다.

외부 서비스 로그인에 쓰이는 오스(OAuth) 인증이 광범위하고 모호한 권한을 요구하는 것이 이 같은 문제의 한 원인이라고 오아시스는 지적했다. 접근 권한을 세부적으로 나눌 수 있는 선택지가 없어 어쩔 수 없이 지나친 권한을 요구할 수밖에 없다는 설명이다.

이렇게 되면 사용자 파일에 대한 광범위한 접근을 노리는 악성 앱과 필요한 파일만 골라서 접근하고자 하지만 그런 옵션이 없어 적용하지 못하는 정상 앱을 구분할 수 없게 된다.

또 원드라이브 파일 피커 관련 인증에 주로 쓰이는 마이크로소프트 인증 라이브러리(MSAL)는 인증 토큰 정보를 브라우저의 세션 저장 공간에 평문으로 저장하는 것으로 나타났다. 토큰을 자주 재발급해 사용자 데이터에 접근할 수 있는 기간을 늘인다는 문제도 있었다.

피해를 막기 위해선 마이크로소프트 계정 페이지에서 외부 앱 접근 권한을 확인하고 불필요한 앱의 공유를 중단해야 한다.

오아시스는 이 취약점 발견 직후 마이크로소프트와 원드라이브 파일 피커를 이용하는 소프트웨어 기업들에 통보했다고 밝혔다. 마이크로소프트는 문제를 개선하겠다고 약속했다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>