"비번 안전" 안심 금물… 오픈AI 사용자 노린 '스피어 피싱' 주의보
"비번 안전" 안심 금물… 오픈AI 사용자 노린 '스피어 피싱' 주의보
"협력사 뚫려도 본사 책임"
오픈AI '꼬리 자르기' 주장에 법조계 일침
본문의 이해를 돕기 위해 생성형 AI로 만든 이미지
세계적인 생성형 AI 기업 오픈AI(OpenAI)가 이용자들에게 긴급한 보안 경고를 보냈다. 자사의 시스템이 직접 뚫린 것은 아니지만, 데이터 분석을 위해 손잡은 협력사가 해킹 공격을 받으면서 이용자 정보가 위협받게 된 것이다.
오픈AI는 "비밀번호나 결제 정보는 안전하다"며 선을 그었지만, 법조계의 시각은 다르다. 단순한 정보 유출을 넘어선 지능형 사기 범죄의 가능성과, 협력사 관리에 대한 법적 책임 공방이 예고되고 있기 때문이다.
협력사 뚫리자 '화들짝'… "오픈AI 사칭 메일, 절대 열지 마라"
사건의 발단은 오픈AI의 웹 분석 협력사인 '믹스패널(Mixpanel)'에서 발생한 보안 침해 사고다. 지난 3일, 오픈AI는 공지를 통해 "믹스패널 침해 사고로 인해 개발자 플랫폼 사용자 정보가 유출됐을 가능성이 있다"고 밝혔다.
오픈AI 측의 설명에 따르면, 다행히 오픈AI의 자체 시스템이나 비밀번호, API 키, 결제 정보 등 핵심 데이터는 유출되지 않았다. 하지만 안심하기엔 이르다. 오픈AI는 "유출된 정보가 피싱이나 사회 공학적 공격(Social Engineering)에 악용될 수 있다"며 강력한 주의를 당부했다.
현재 가장 우려되는 시나리오는 해커가 오픈AI를 사칭해 사용자에게 접근하는 것이다. "보안 업데이트가 필요하다"거나 "계정이 잠겼다"는 식의 가짜 이메일을 보내 비밀번호나 API 키 입력을 유도할 수 있다. 오픈AI는 "우리는 절대 이메일이나 채팅으로 비밀번호를 묻지 않는다"고 강조하며, 발신자 도메인을 철저히 확인할 것을 요청했다.
이번 사건은 겉보기엔 단순한 해킹 사고처럼 보이지만, 그 이면에는 기업의 '제3자 위탁 책임'이라는 복잡한 법적 쟁점이 도사리고 있다.
"직접 안 털렸으니 무죄?"… 법이 말하는 '관리의 사각지대'
오픈AI의 주장대로 자사 서버가 직접 해킹당한 것은 아니다. 그러나 법적으로 오픈AI가 모든 책임에서 자유로운 것은 아니다. 핵심은 '협력사 관리 의무'에 있다.
현행법상 정보통신서비스제공자가 개인정보 처리를 제3자에게 위탁할 경우, 단순히 맡기는 것에 그치지 않고 수탁자를 관리·감독해야 할 법적 의무를 진다. 이번 사건처럼 믹스패널이라는 협력사를 통해 정보가 샜다면, 오픈AI가 평소 믹스패널의 보안 수준을 얼마나 철저히 점검했느냐가 법적 책임의 갈림길이 된다.
대법원 판례 역시 이 지점을 지적한다. 과거 대규모 해킹 사태였던 '옥션 사건' 등에서 법원은 해커의 침입을 완벽히 막는 것은 불가능하다는 점을 인정하면서도, 기업이 '합리적인 주의의무'를 다했는지를 깐깐하게 따졌다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결).
즉, 오픈AI가 믹스패널을 선정하고 관리하는 과정에서 보안 점검을 소홀히 했다면, 직접 해킹당하지 않았더라도 이용자들의 피해에 대해 손해배상 책임을 질 수 있다는 것이 법조계의 중론이다.
당신을 노리는 '스피어 피싱'… 보이스피싱보다 교묘하다
이번 유출이 특히 위험한 이유는 '스피어 피싱(Spear Phishing)'의 가능성 때문이다. 불특정 다수에게 그물을 던지는 일반 피싱과 달리, 스피어 피싱은 특정인(개발자, 기업 담당자)을 콕 집어 작살(Spear)로 찌르듯 공격한다.
해커들은 유출된 믹스패널의 분석 데이터를 토대로 사용자가 언제, 어떤 서비스를 이용했는지 파악하고 있을 가능성이 크다. 이를 이용해 "지난주 00 프로젝트 API 사용량에 문제가 있다"는 식으로 매우 구체적이고 믿을 수밖에 없는 가짜 메시지를 보낼 수 있다.
법적으로 이러한 행위는 기망행위를 통해 정보를 탈취하려는 사기죄 및 정보통신망법 위반에 해당한다. 대법원은 보이스피싱 조직과 마찬가지로, 이러한 조직적인 사기 행위를 범죄단체 활동으로 엄격하게 처벌하고 있다(대법원 2017. 10. 26. 선고 2017도8600 판결).
단순한 개인정보 유출을 넘어, 기업의 핵심 자산인 API 키나 소스코드 탈취로 이어질 수 있는 만큼 사용자들의 각별한 주의가 요구되는 시점이다.
"결국 방어는 사용자의 몫?"… 입증 책임의 딜레마
결국 공은 다시 사용자에게 넘어왔다. 법적으로 기업의 관리 부실을 입증해 배상받기란 쉽지 않은 것이 현실이다.
오픈AI는 이번 공지를 통해 '고지 의무'를 이행하며 1차적인 방어선을 구축했다. 이제 사용자는 날아오는 메일이 진짜인지 가짜인지 판별해야 하는 숙제를 떠안게 되었다.
전문가들은 "오픈AI가 협력사 관리에 소홀함이 없었는지 향후 법적 다툼의 여지가 있다"면서도 "당장은 사용자들이 비밀번호나 API 키를 요구하는 모든 연락을 의심하고, 2단계 인증(2FA)을 활성화하는 등 스스로 방어막을 높이는 것이 최선"이라고 조언했다.