데이터 분석 서비스 믹스패널 내부 시스템 해킹...오픈AI API 이용자 정보 포함
플랫폼 기업 ‘협력사 리스크’ 관리 도마 올라...즉각 계약 해지 강수
[보안뉴스 조재호 기자] 챗GPT 개발사 오픈AI는 데이터 분석 파트너 기업 믹스패널(Mixpanel)의 보안 사고로 일부 이용자 정보가 유출됐다고 밝혔다. 다만, 대화 내용이나 비밀번호 같은 민감 정보는 포함되지 않았다.
27일(한국시각) 오픈AI는 공식 블로그에서 “API 플랫폼의 웹 분석을 위해 사용하던 외부 협력사 믹스패널에서 보안 침해 사고가 발생했다”며 “이로 인해 일부 API 사용자 계정 정보가 유출된 정황을 확인했다”고 공지했다.
▲오픈AI API 정보 유출 안내메일 [자료: 보안뉴스]
오픈AI에 따르면, 이번 사고는 믹스패널 내부 시스템에서 발생한 것으로 오픈AI 자체 시스템이나 인프라가 해킹되지는 않았다. 믹스패널은 9일 자사 시스템 침해를 확인하고, 조사를 거쳐 25일 피해 규모가 담긴 데이터셋을 오픈AI에 공유했다.
유출된 정보는 오픈AI API 플랫폼(platform.openai.com) 이용자의 △이름 △이메일 주소 △대략적 위치정보(국가, 도시 등) △접속에 사용한 브라우저 및 운영체제 정보 △유입 경로 웹사이트 △계정 관련 조직 및 사용자 ID 등이다.
오픈AI는 챗GPT의 사용자 대화 로그(Chat logs)나 API 요청 내용, 비밀번호, API 인증키, 결제 정보, 신분증 등 민감 데이터는 이번 유출에 포함되지 않았다고 밝혔다. 또 사고 인지 직후 즉각 대응에 나섰다. 보안 조사의 일환으로 모든 서비스에서 믹스패널 연동을 즉시 중단했다.
오픈AI 측은 “외부 공급 업체에도 최고 수준의 보안 기준을 적용해 책임을 묻겠다”며 “이번 사건을 계기로 믹스패널 사용을 영구 중단하고 보안 체계를 재점검하겠다”고 공지했다.
또 이들 정보를 악용해 회사나 관련 담당자를 사칭한 메일이 발송될 수 있다며, 이용자에게 의심스러운 메일이나 링크 클릭에 각별한 주의를 요청했다.
이번 사고는 API 플랫폼을 이용하는 개발자나 기업 계정의 메타데이터 일부가 노출된 상황으로, 일반 이용자에 대한 영향은 미미할 것으로 보인다.
김동현 크리밋 대표는 “서비스나 플랫폼 개발에서 클라우드, 로그, 배포 등 다양한 SaaS를 연동하면서 핵심 운영 기능을 외부 서비스에 위임하는 만큼 ‘공급업체 위험 평가’(Vendor Risk Assessment)를 통해 보안성을 검토하고 지속적으로 모니터링할 필요가 있다”며 “서비스 공급자는 신뢰 센터(Trust Center) 같은 시스템을 통해 보안 인증 현황과 체크리스트를 공개하는 등 고객 신뢰를 담보할 투명성을 제공해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
플랫폼 기업 ‘협력사 리스크’ 관리 도마 올라...즉각 계약 해지 강수
[보안뉴스 조재호 기자] 챗GPT 개발사 오픈AI는 데이터 분석 파트너 기업 믹스패널(Mixpanel)의 보안 사고로 일부 이용자 정보가 유출됐다고 밝혔다. 다만, 대화 내용이나 비밀번호 같은 민감 정보는 포함되지 않았다.
27일(한국시각) 오픈AI는 공식 블로그에서 “API 플랫폼의 웹 분석을 위해 사용하던 외부 협력사 믹스패널에서 보안 침해 사고가 발생했다”며 “이로 인해 일부 API 사용자 계정 정보가 유출된 정황을 확인했다”고 공지했다.
▲오픈AI API 정보 유출 안내메일 [자료: 보안뉴스]
오픈AI에 따르면, 이번 사고는 믹스패널 내부 시스템에서 발생한 것으로 오픈AI 자체 시스템이나 인프라가 해킹되지는 않았다. 믹스패널은 9일 자사 시스템 침해를 확인하고, 조사를 거쳐 25일 피해 규모가 담긴 데이터셋을 오픈AI에 공유했다.
유출된 정보는 오픈AI API 플랫폼(platform.openai.com) 이용자의 △이름 △이메일 주소 △대략적 위치정보(국가, 도시 등) △접속에 사용한 브라우저 및 운영체제 정보 △유입 경로 웹사이트 △계정 관련 조직 및 사용자 ID 등이다.
오픈AI는 챗GPT의 사용자 대화 로그(Chat logs)나 API 요청 내용, 비밀번호, API 인증키, 결제 정보, 신분증 등 민감 데이터는 이번 유출에 포함되지 않았다고 밝혔다. 또 사고 인지 직후 즉각 대응에 나섰다. 보안 조사의 일환으로 모든 서비스에서 믹스패널 연동을 즉시 중단했다.
오픈AI 측은 “외부 공급 업체에도 최고 수준의 보안 기준을 적용해 책임을 묻겠다”며 “이번 사건을 계기로 믹스패널 사용을 영구 중단하고 보안 체계를 재점검하겠다”고 공지했다.
또 이들 정보를 악용해 회사나 관련 담당자를 사칭한 메일이 발송될 수 있다며, 이용자에게 의심스러운 메일이나 링크 클릭에 각별한 주의를 요청했다.
이번 사고는 API 플랫폼을 이용하는 개발자나 기업 계정의 메타데이터 일부가 노출된 상황으로, 일반 이용자에 대한 영향은 미미할 것으로 보인다.
김동현 크리밋 대표는 “서비스나 플랫폼 개발에서 클라우드, 로그, 배포 등 다양한 SaaS를 연동하면서 핵심 운영 기능을 외부 서비스에 위임하는 만큼 ‘공급업체 위험 평가’(Vendor Risk Assessment)를 통해 보안성을 검토하고 지속적으로 모니터링할 필요가 있다”며 “서비스 공급자는 신뢰 센터(Trust Center) 같은 시스템을 통해 보안 인증 현황과 체크리스트를 공개하는 등 고객 신뢰를 담보할 투명성을 제공해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
