OpenAI, 데이터 유출 후 Mixpanel과의 관계 단절

OpenAI는 11월 27일 타사 분석 제공업체인 Mixpanel의 보안 침해로 인해 API 플랫폼 고객의 제한된 사용자 데이터가 노출되었다고 확인했습니다. Mixpanel의 시스템 내에서 발생했으며 OpenAI의 인프라에는 영향을 미치지 않은 이 사건으로 인해 인공지능 회사는 해당 공급업체와의 관계를 종료하고 포괄적인 공급업체 보안 감사를 시작했습니다.

Mixpanel은 11월 9일 공격자가 “스미싱(smishing)“으로도 알려진 SMS 피싱 공격을 통해 상승된 권한을 획득한 후 자사 시스템에 대한 무단 접근을 탐지했습니다. 공격자는 고객 식별 정보와 분석 데이터가 포함된 데이터셋을 유출했습니다. Mixpanel은 같은 날 OpenAI에 이를 통지했지만 11월 25일까지 영향을 받은 데이터셋을 공유하지 않았습니다.

어떤 데이터가 노출되었는가

침해된 정보에는 API 계정에 제공된 이름, 이메일 주소, 도시 및 주와 같은 브라우저 메타데이터를 기반으로 한 대략적인 위치 데이터, 운영 체제 및 브라우저 정보, 참조 웹사이트, API 계정과 연결된 조직 또는 사용자 ID가 포함됩니다.

OpenAI는 민감한 데이터는 침해되지 않았다고 강조했습니다. 채팅 로그, API 요청, API 사용 데이터, 비밀번호, 자격 증명, API 키, 결제 세부 정보 및 정부 발급 신분증 문서는 노출되지 않았습니다. ChatGPT 사용자 및 기타 OpenAI 소비자 대상 제품은 이번 침해 사고의 영향을 받지 않았습니다.

더 넓은 시사점

Mixpanel 침해 사고는 OpenAI를 넘어 여러 기업에 영향을 미쳤습니다. 암호화폐 세금 플랫폼인 CoinTracker는 동일한 사고로 사용자 이메일 주소, 지리적 위치 및 기기 메타데이터가 노출되었다고 밝혔습니다. 이러한 광범위한 영향으로 기술 부문 전반에 걸쳐 제3자 공급업체 보안에 대한 우려가 제기되었습니다.

OpenAI는 노출된 정보가 피싱 또는 소셜 엔지니어링 공격에 악용될 수 있다고 경고하며 사용자들에게 의심스러운 통신에 대해 경계심을 유지할 것을 촉구했습니다. 회사는 이메일, 문자 또는 채팅을 통해 비밀번호, API 키 또는 인증 코드를 요청하지 않는다고 강조했습니다.

이번 사고에 대응하여 OpenAI는 즉시 모든 프로덕션 서비스에서 Mixpanel을 제거하고 전체 공급업체 생태계에 걸쳐 강화된 보안 검토를 시작했습니다. OpenAI는 “신뢰, 보안 및 개인정보 보호는 우리 제품, 조직 및 사명의 기반”이라고 밝히며, 파트너와 공급업체에게 최고 수준의 보안 기준을 요구한다고 덧붙였습니다.