챗GPT에 파일 올렸을 뿐인데… 내 원드라이브 다 노출된다고?
최근 또 다시 마이크로소프트 원드라이브 (Microsoft OneDrive) 보안 취약성이 도마에 올랐습니다. 원드라이브의 연동 앱들이 사용자 폴더 전체를 들여다볼 수 있는 보안 허점이 드러난 것이죠.
쉽게 말해, 챗GPT에 특정 파일 하나를 업로드하더라도 챗GPT가 해당 파일뿐 아니라 OneDrive 전체 저장 공간에 있는 다른 파일까지 볼 수 있다는 의미입니다. 이 문제는 챗GPT뿐만 아니라 슬랙, 트렐로 등 다양한 앱과의 연동에서도 발생할 수 있어 우려가 커지고 있습니다.
이번 글에서는 다음과 같은 핵심 쟁점을 중심으로 보안 위협의 본질을 짚고, 조직이 선택할 수 있는 현실적인 대안을 함께 살펴봅니다.
핵심 포인트:
- 원드라이브 연동 앱의 광범위한 접근 권한 방식
- 파일 하나만 업로드해도 전체 드라이브 노출 가능
- 원드라이브 파일 피커 기능 및 OAuth 구조의 근본적 허점
- 보다 안전한 보안 설계를 갖춘 클라우드 서비스 비교
2025년 원드라이브 동기화(보안) 이슈 요약
1. 파일 하나만 업로드해도 전체 드라이브 노출 위험
2025년 상반기, Microsoft OneDrive에서 파일 업로드 시 전체 드라이브가 외부에 노출될 수 있는 심각한 보안 취약점이 발견되었습니다. 사용자가 챗GPT, 슬랙, 트렐로 등 외부 앱에 파일을 업로드할 때, 실제로는 선택한 파일뿐 아니라 원드라이브 전체 저장 공간에 대한 포괄적 접근 권한이 부여될 수 있다는 점이 드러났습니다.
‼️ 예를 들어, 사용자가 ChatGPT에 특정 문서 파일 하나를 업로드하려고 할 때, ChatGPT는 해당 파일뿐 아니라 OneDrive에 저장된 다른 개인 정보, 사진, 비디오 등 모든 파일에 접근할 수 있습니다.
2. 문제의 원인: 파일 피커와 OAuth 구조의 허점
이 취약점은 원드라이브의 ‘파일 피커’(OneDrive File Picker) 기능과 OAuth 인증 구조의 허점에서 비롯됐습니다. 사용자는 특정 파일만 선택해 공유하고 싶어도, 앱에 전체 드라이브 접근 권한을 허용해야 하는 구조라 불필요하게 광범위한 권한이 부여됩니다.
특히 Microsoft 인증 라이브러리(MSAL)는 인증 토큰을 브라우저에 평문으로 저장하는 구조로, 장기적 접근 가능성까지 우려되고 있습니다.
3. 실제 위험: 데이터 유출·컴플라이언스 위반 가능성
보안 기업 오아시스는 “챗GPT, 슬랙, 트렐로 등 주요 업무용 앱 사용자 수백만 명이 이미 원드라이브 전체에 대한 접근 권한을 외부 앱에 허가했을 수 있다”며, 사용자 데이터 유출이나 컴플라이언스 규정 위반 등 심각한 결과로 이어질 수 있다고 경고했습니다.
4. 마이크로소프트의 대응
마이크로소프트는 해당 취약점 발견 직후 보안 패치와 권한 설정 강화, 모니터링 시스템 개선 등 조치를 약속했으며, 문제 개선을 위해 관련 소프트웨어 기업들과 협력 중입니다. 다만 근본적인 구조 변경 계획은 밝히지 않았습니다.
5. 사용자 주의사항 (필수!!!!)
- MS 계정에서 앱 접근 권한을 확인하고 불필요한 권한은 삭제해야 합니다.
- 중요한 파일은 별도의 보안 클라우드에 보관하거나 접근 권한을 제한하는 보안 수칙이 필요합니다.
tip: 원드라이브에서 데이터 보호 및 권한 취소 방법
로그인 후 마이크로소프 계정(account)로 이동한 뒤 왼쪽의 ‘Privacy’로 이동하세요. 여기에 ‘App access’ 라는 옵션이 있는데 이 옵션을 클릭하면 계정에 접근하도록 허용한 앱 목록이 표시됩니다.
위 이미지처럼 나도 모르게 접근을 허용한 앱이 세 가지가 있네요 (실제 다른 분들이나 기업용으로 활용하신다면 접근 허용한 앱의 수가 더 많을 것입니다). 그 다음은 간단해요.
서비스 권한을 제거하고 싶으면 ‘Details’를 누른 뒤 ‘Stop sharing’ 버튼을 클릭하시면 됩니다. 삭제된 서비스가 적용되는 데는 최대 1시간이 걸릴 수 있습니다.
💡갈수록 커지는 데이터 보안 이슈
최근 AI와 SaaS 서비스의 확산으로 기업과 기관이 다루는 데이터의 양이 폭발적으로 증가하고 있습니다. 이와 함께 데이터 유출, 권한 오남용, 외부 공격 등 보안 위협 역시 더욱 커지고 있습니다. 실제로 이번 OneDrive 보안 이슈는 단순히 한 서비스의 문제가 아니라, 모든 조직이 클라우드 저장소 선택 시 보안과 신뢰성을 최우선으로 고려해야 함을 다시 한 번 일깨워줍니다.
특히 공공기관과 보안에 민감한 기업에서는 단순한 기능이나 가격만으로 클라우드 서비스를 선택해서는 안 됩니다.
다음과 같은 요소를 모두 갖춘 신뢰할 수 있는 서비스 제공자 선택이 필수적입니다.
- CSAP 등 공식 보안 인증 보유
- 국내 데이터센터 운영 및 데이터 주권 확보
- 엄격한 권한 관리와 실시간 모니터링 체계
- 신속한 고객지원 및 장애 대응 시스템
이러한 기준을 충족하는 클라우드 서비스만이 실제 현장에서 발생할 수 있는 다양한 보안 위협과 사용자 실수까지 효과적으로 방어할 수 있습니다. 클라우다이크는 바로 이러한 요구에 부합하는 공공기관 및 기업용 클라우드 스토리지로, 실제 다수 기관에서 신뢰받고 있습니다.
보안 민감 기관·기업에게는 더욱 치명적
공공기관, 의료기관, 제조업 등 보안 민감 업종에서 OneDrive와 같은 광범위 접근 기반의 클라우드는 다음과 같은 위험을 안고 있습니다:
- 사용자도 모르게 조직 전체 파일이 외부에 노출될 수 있음
- 개별 사용자 실수가 전체 보안 사고로 확산될 수 있음
- 권한 구조가 관리자 제어보다 사용자의 실수에 의존함
OAuth 기반 인증 구조의 편의성과 확장성은 강점이지만, 세분화된 권한 통제가 불가능할 경우 정보 유출 리스크는 기하급수적으로 증가합니다.
클라우다이크 vs. 원드라이브 – 보안 비교
| 항목 | OneDrive | Cloudike |
|---|---|---|
| 공유 시 노출 범위 | 전체 폴더 구조 노출 가능 | 폴더별 권한 설정, 링크 기반 최소 권한 공유 |
| 실수 방지 기능 | 없음 | 관리자 설정 기반 접근제어 및 실시간 감사 로그 |
| 사용자 제어 | 공유자 중심 | 관리자 중심 정책 설정 가능 |
| 국내 법률 대응 | 글로벌 정책 우선 | CSAP 인증, 개인정보보호법 대응 완료 |
클라우다이크는 관리자 기반 권한 설정, 폴더별 제한 공유, 실시간 로그 추적 등으로 사용자 실수까지 방어할 수 있는 구조를 제공합니다.
⚠️ 사용자 실수는 의외로 흔하게 발생합니다. 다운로드 링크에 비밀번호, 만료일, 다운로드 횟수 제한 등을 설정해 외부 유출 위험에 선제적으로 대응할 수 있습니다. 또한 폴더별 공유 요청/수락, 기업 폴더 지정 기능을 통해 접근 범위를 세밀하게 제어할 수 있습니다.
클라우드 선택 기준, 다시 생각해야 할 때
이번 이슈는 단지 하나의 보안 사고가 아닙니다. SaaS와 AI 서비스의 확산으로 인해 클라우드 저장소의 보안 설계 자체가 조직의 리스크를 좌우하는 시대가 도래했기 때문입니다.
- CSAP 등 공인 보안 인증 여부
- 국내 데이터센터 운영
- 실시간 감사 로그, 접근 권한 이력 추적 가능 여부
- 관리자 중심의 권한 관리 정책
클라우다이크는 이러한 기준을 모두 충족하며, 공공기관 및 보안 민감 조직을 위한 신뢰할 수 있는 클라우드 스토리지 환경을 제공합니다. 지금 클라우다이크 무료 체험으로 안전하고 효율적인 클라우드 환경을 경험해보세요! 15일간 무료로 사용해보고, 우리 조직에 딱 맞는 클라우드 솔루션인지 직접 확인할 수 있습니다.
