X 사용자, 악성 캘린더 이벤트가 ChatGPT의 새로운 Google 통합 기능을 어떻게 악용할 수 있는지 지적.
보안 연구원 한 명은 악성 Google Calendar 초대가 ChatGPT에 프롬프트 주입(prompt-inject)을 유도하여, Google 커넥터가 활성화된 상황에서 개인 이메일을 유출하게 만들 수 있는 방법을 시연했습니다. Eito Miyamura는 9월 12일 X 게시물을 통해 간단한 시나리오를 공개했습니다. 공격자가 지침이 포함된 달력 초대를 보내면, 대상자가 ChatGPT에 접속하여 특정 행동을 요청할 때 이를 실행하도록 유도하는 것입니다. ChatGPT는 이 함정 이벤트 내용을 읽고 지시에 따라 Gmail을 검색하며 민감한 세부 정보를 수집하게 됩니다. 미야무라는 "필요한 것은? 피해자의 이메일 주소뿐"이라고 주장했습니다.
OpenAI는 지난 8월 중순에 ChatGPT에 네이티브 Gmail, Google Calendar, Google Contacts 커넥터를 도입했습니다. 이는 초기에는 Pro 사용자에게, 이후 Plus 사용자에게 제공되었으며, 릴리스 노트에는 어시스턴트가 승인 이후 대화 중 이 출처들을 자동으로 참조할 수 있다고 명시되어 있습니다. 이로써 사용자는 "오늘 달력에 뭐가 있나요?"와 같은 평범한 질문만으로도, 매번 출처를 명시적으로 지정할 필요 없이 구글 계정의 데이터를 직접 끌어올 수 있게 되었습니다.
OpenAI의 도움말 센터는 나아가 이러한 Google 커넥터는 한 번 활성화되면 자동 사용이 가능하다는 점을 설명하며, 사용자가 수동으로 출처를 선택하기를 원할 경우 ChatGPT 설정에서 자동 사용 기능을 끌 수 있다고 안내합니다. 같은 페이지에서는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)을 사용하는 맞춤형 커넥터는 개발자를 위한 것이며 OpenAI에 의해 인증되거나 식별되지 않는다고 명시하고 있습니다. 이는 미야무라가 이번 공격을 최근의 MCP 지원 및 급증하는 도구 생태계와 연결하여 논리를 전개했다는 점에서 특히 주목할 필요가 있습니다.
[트윗 원문]
We got ChatGPT to leak your private email data 
All you need? The victim's email address. 
️
On Wednesday, @OpenAI added full support for MCP (Model Context Protocol) tools in ChatGPT. Allowing ChatGPT to connect and read your Gmail, Calendar, Sharepoint, Notion,… pic.twitter.com/E5VuhZp2u2 September 12, 2025
여기서 실제 발생하는 기법은 간접 프롬프트 주입(indirect prompt injection)입니다. 공격자의 지침은 어시스턴트가 읽을 수 있도록 허용된 데이터, 즉 본 사례에서는 달력 이벤트 텍스트 안에 숨겨져 있습니다. 이미 지난 8월, 연구원들은 손상된 초대가 Google의 Gemini를 조작하여 스마트 홈 기기를 제어하고 정보를 유출할 수 있음을 시연한 바 있으며, 이 작업 내용은 보안 문서와 "Invitation Is All You Need"라는 논문을 통해 보고되었습니다. 기술적 세부 사항은 플랫폼마다 다르지만, 어시스턴트가 손상된 달력 콘텐츠를 읽도록 허용하는 한 근본적인 위험은 같습니다.
궁극적으로, 사용자가 ChatGPT 내부에서 Gmail과 Calendar를 먼저 연결하지 않는 이상 아무런 피해도 발생하지 않습니다. 또한, 어시스턴트의 동작은 OpenAI가 제3자 콘텐츠를 처리할 때 적용하는 정책과 프롬프트에 여전히 의존합니다. 관련 문서에는 출처 연결을 해제하거나 자동 사용 기능을 비활성화할 수 있다는 내용이 포함되어 있어, 손상된 이벤트가 일상적인 대화에 영향을 미치기 위한 기회를 제한할 수 있습니다.
만약 보안이 우려된다면, 가장 효과적인 방어책은 Google 측에서 이루어져야 합니다. Google Calendar의 "초대장 자동 추가" 설정을 변경하여, 알려진 발신자나 사용자가 직접 수락한 초대만 달력에 표시되도록 조치하고, 거절된 이벤트 숨김 기능까지 고려해야 합니다. Google 지원 페이지에서 해당 옵션들을 자세히 안내하고 있으며, Google Workspace 관리자는 조직 전체에 걸쳐 보다 안전한 기본 설정을 적용할 수 있습니다.
이 사안의 더 큰 교훈은 ChatGPT나 Gmail이 '해킹'되었다기보다는, 도구를 활용하는 AI가 사용자가 읽게 하는 데이터 속에 숨어 있는 악의적인 명령에 매우 취약하다는 점입니다. 이러한 기능을 유용하게 만드는 커넥터들은 캘린더와 받은 편지함까지 공격 표면(attack surface)을 확장시키고 있습니다. 업계가 간접 프롬프트 주입에 대한 강력한 기본 방어 장치를 마련하기 전까지, 가장 안전한 방안은 어떤 계정을 연결할지 신중하게 접근하는 것이며, 본 시나리오에 맞춰 낯선 사람이 의도적인 내용을 심지 못하도록 캘린더 기능을 철저히 제한하는 것입니다.
(이후의 푸터 내용은 일반적인 매체 안내이므로 기술 문서의 흐름에 따라 통합하거나 생략합니다.)