악의적인 Google 캘린더 초대가 ChatGPT로 당신의 이메일을 유출시킬 수 있습니다

보안 연구원이 가짜 구글 캘린더 초대장을 통해 Gmail 연결 기능이 활성화되어 있을 때 ChatGPT에서 개인 이메일 내용을 빼낼 수 있다고 보고했습니다.

에이토 미야무라는 X에 대한 공격 방법을 설명하였으며, 이는 해커들이 숨겨진 지시사항이 담긴 캘린더 초대장을 이용하고, 피해자가 ChatGPT에게 업무를 요청할 때까지 기다리는 방법을 보여주었습니다. 이 내용은 처음으로 Tom’s Hardware에서 보도되었습니다.

공격자는 이벤트에 악성 명령을 삽입하며, 이에 따라 ChatGPT는 악성 지시에 따라 자동으로 실행됩니다. “필요한 것이 무엇이냐고요? 피해자의 이메일 주소일 뿐입니다,” 라고 미야무라가 주장합니다.

우리는 ChatGPT에게 당신의 개인 이메일 데이터를 유출시키게 했습니다 💀💀

필요한 것은 무엇일까요? 피해자의 이메일 주소입니다. ⛓️💥🚩📧

수요일에, @OpenAI는 ChatGPT에 MCP (Model Context Protocol) 도구에 대한 완전한 지원을 추가했습니다. 이를 통해 ChatGPT가 Gmail, Calendar, Sharepoint, Notion 등을 연결하고 읽을 수 있게 되었습니다… pic.twitter.com/E5VuhZp2u2

— Eito Miyamura | 🇯🇵🇬🇧 (@Eito_Miyamura) 2025년 9월 12일

Tom’s Hardware에 따르면, 8월 중순에 OpenAI는 ChatGPT에 Gmail, Google Calendar, 그리고 Google Contacts 커넥터를 기본 지원으로 추가했습니다. 사용자가 허락을 한 후에는, 이 비서는 사용자의 Google 계정 데이터에 자동으로 접근할 수 있습니다. 이로 인해 “오늘 내 캘린더에 뭐가 있나요?”와 같은 일상적인 질문조차도 당신의 캘린더에 접근할 수 있게 됩니다.

OpenAI의 도움말 센터는 이러한 커넥터들이 활성화되면 자동 데이터 접근이 가능하게 되지만, 설정에서 이를 끄고 수동으로 소스를 선택할 수 있다고 설명하고 있습니다.

Tom’s Hardware는 Model Context Protocol이 개발자들에게 커스텀 커넥터를 만들 수 있게 해주지만, OpenAI는 이러한 연결을 모니터링하지 않는다고 설명합니다. 이 공격은 새로운 전반적인 생태계에 의존하므로, Miyamura는 이 점을 강조합니다.

간접적인 프롬프트 주입이라는 공격 방법은 승인된 데이터 접근 지점 내부에 해로운 명령을 숨깁니다. 이 경우에는 캘린더 이벤트에 포함된 텍스트입니다. 유사한 공격이 8월에 보고되었는데, 이는 해킹된 초대장이 Google의 Gemini AI를 조종하거나 심지어 스마트홈 장치들을 제어할 수 있음을 보여줍니다.

시스템은 ChatGPT 내부에서 Gmail과 캘린더 서비스가 연결되지 않으면 비활성 상태로 남아 있습니다. 위험을 최소화하려는 사용자들은 소스를 분리하고 자동 데이터 접근을 끄는 것이 좋습니다.

전문가들은 Google 캘린더의 “자동으로 초대장 추가” 설정을 변경해 알려진 연락처로부터의 초대만 표시되도록 하고 거절된 이벤트를 숨기는 것을 권장합니다.