ChatGPT로 외부 링크를 요약하는 팀이라면 지금 당장 워크플로우를 점검해야 한다. 2025년 5월, The Hacker News가 보도한 ChatGPhish 취약점은 ChatGPT의 웹 요약 기능이 마크다운 피싱 링크를 그대로 통과시킨다는 사실을 드러냈다. 모델이 잘못된 게 아니라, 신뢰할 수 있는 UI가 필터 역할을 하지 못하는 구조적 문제다.
1. 왜 지금 이걸 봐야 하나
업무에서 ChatGPT를 "빠른 요약 도구"로 쓰는 팀이 늘었다. 경쟁사 블로그 스크랩, 이슈 트래커 링크 확인, 외부 문서 번역 — 이 모든 워크플로우의 공통점은 외부 URL이 입력으로 들어온다는 점이다.
문제는 여기서 시작된다. 공격자가 마크다운 피싱 링크를 심은 웹페이지를 만든다. 평범한 블로그처럼 보이지만, HTML 안에 [여기를 클릭해서 인증하세요](https://phishing.example.com) 같은 구문이 숨어 있다. 사용자가 ChatGPT에 "이 페이지 요약해줘"라고 입력하면, ChatGPT는 해당 URL을 긁어와 내용을 정리하면서 마크다운 렌더링을 그대로 출력한다. 결과 화면은 ChatGPT의 깔끔한 UI 안에 클릭 가능한 피싱 링크가 살아 있는 상태가 된다.
번역가 비유가 이 상황을 잘 설명한다. ChatGPT를 번역가로 고용했는데, 번역가가 악성 쪽지의 "이쪽으로 오세요"라는 문장까지 충실히 읽어주는 격이다. 사용자는 ChatGPT가 출력했으니 안전하다고 판단한다. 그게 함정이다.
전통적인 이메일 보안 솔루션이나 피싱 필터는 이 경로를 인식하지 못한다. 공격 경로가 이메일 첨부파일에서 AI 요약 결과물로 이동했기 때문이다.
2. 핵심 아이디어
신뢰 인터페이스가 콘텐츠를 필터링하지 않으면 증폭기가 된다.
ChatGPhish 취약점의 본질은 모델 성능 문제가 아니다. ChatGPT UI는 사용자에게 높은 신뢰를 받는다. 그 UI 안에 렌더링된 링크는 수상한 이메일 속 링크보다 훨씬 낮은 경계심으로 클릭된다.
아래 표로 기존 피싱 경로와 이번 취약점 경로를 비교하면 차이가 명확해진다.
| 구분 | 기존 이메일 피싱 | ChatGPhish 경로 |
|---|---|---|
| 공격 표면 | 이메일 수신함 | ChatGPT 요약 결과물 |
| 사용자 경계심 | 상대적으로 높음 | 낮음 (신뢰 UI) |
| 기존 보안 솔루션 대응 | 이메일 게이트웨이 | 커버 안 됨 |
| 확산 경로 | 개인 수신함 | 슬랙/노션 팀 공유 |
| CVE 등록 | 대부분 등록 | 현재 불명확 |
가장 위험한 시나리오는 팀 단위 사용 환경이다. 팀원 한 명이 악성 URL을 요약 요청하고 그 결과를 슬랙 채널에 붙여 넣으면, 채널의 모든 구성원이 피싱 링크에 노출된다. Codex나 ChatGPT Plus를 팀 협업 도구로 쓰는 환경에서 파급력이 특히 크다.
3. 바로 따라하는 방법
지금 당장 실행할 수 있는 확인 절차 세 가지다.
첫째, 팀 ChatGPT 사용 정책 점검
아래 항목에 "아니오"가 하나라도 있으면 보완이 필요하다.
체크리스트:
[ ] 외부 URL을 ChatGPT에 넣어 요약하는 행위에 대한 가이드라인이 문서화되어 있다
[ ] ChatGPT 요약 결과물을 팀 채널에 공유하기 전 원본 URL 출처 확인 절차가 있다
[ ] ChatGPT Enterprise/Teams 사용 중이라면 OpenAI 보안 공지를 정기 구독하고 있다
둘째, 요약 결과물 링크 원본 확인 방법
ChatGPT가 요약을 출력했을 때, 링크가 포함되어 있다면 클릭 전에 아래 절차를 거친다.
# 링크 원본 확인 — 브라우저 콘솔에서 실행
# ChatGPT 응답 화면에서 해당 링크에 마우스 오버 후 상태바 URL 확인
# 또는 curl로 리다이렉트 체인 확인
curl -sIL --max-redirs 5 "https://의심스러운링크.example.com" | grep -i "location:"
최종 도달 URL이 원본 문서의 도메인과 다르다면 클릭을 멈춘다.
셋째, OpenAI 공식 보안 공지 확인
확인할 URL:
- https://status.openai.com (실시간 장애/보안 이벤트)
- https://openai.com/security (보안 정책 및 취약점 공시)
현재(2025-05-30 기준) OpenAI의 공식 패치 발표는 확인되지 않았다. CVE 등록 여부도 불명확한 상태다. 즉 지금은 패치 전 구간일 수 있으며, 사용자 측 운영 절차로 리스크를 줄여야 하는 시점이다.
4. 운영할 때 조심할 점
마크다운 렌더링 차이
ChatGPT 웹 UI는 마크다운을 렌더링한다. API로 같은 요약을 받으면 마크다운이 텍스트 그대로 출력되어 링크가 클릭 불가 상태가 된다. 팀이 API 통합을 통해 요약 기능을 쓰는 경우에는 렌더링 레이어가 어디서 발생하는지 확인해야 한다. 슬랙이나 노션에 붙여 넣으면 그쪽에서 마크다운이 렌더링되면서 같은 취약점이 재현될 수 있다.
브라우저 확장과 ChatGPT 연동
일부 브라우저 확장 프로그램은 현재 열려 있는 탭의 내용을 자동으로 ChatGPT에 전달한다. 이 경우 사용자가 명시적으로 요약 요청을 하지 않아도 외부 콘텐츠가 ChatGPT로 유입된다. 이런 확장을 쓰고 있다면 권한 범위를 다시 확인하는 것이 좋다.
기업 환경의 추가 리스크
ChatGPT Enterprise를 사용하는 조직은 요약 결과물이 내부 지식 베이스에 자동 저장되는 워크플로우가 있을 수 있다. 피싱 링크가 내부 문서로 저장되면 탐지가 더 어려워진다.
자주 묻는 질문
ChatGPT 요약 기능을 아예 쓰지 말아야 하는가?
완전히 금지할 이유는 없다. 신뢰할 수 있는 내부 문서나 출처가 명확한 공식 문서 URL을 요약하는 용도라면 리스크가 낮다. 불특정 외부 URL, 특히 누군가 공유한 링크를 검증 없이 ChatGPT에 넣는 행위가 문제다. 출처를 먼저 확인하고, 공식 도메인인지 확인한 뒤 요약을 요청하는 습관이 중요하다.
요약 결과물에 링크가 있는지 어떻게 쉽게 확인하나?
ChatGPT 응답 화면에서 마우스를 링크 위에 올리면 브라우저 하단 상태바에 실제 URL이 표시된다. 표시된 URL의 도메인이 요약 대상 원본 문서의 도메인과 다르다면 클릭 전에 멈추는 것이 원칙이다. 모바일 환경에서는 이 확인이 어려우므로 PC에서 먼저 확인하는 것을 권장한다.
OpenAI가 패치를 내놓으면 자동으로 적용되나?
ChatGPT는 서버 사이드 서비스이므로 사용자가 별도로 업데이트를 설치할 필요는 없다. 패치가 배포되면 자동 적용된다. 다만 패치 내용과 적용 시점을 사용자가 알 수 없기 때문에, OpenAI 보안 공지 페이지를 정기적으로 확인하거나 구독하는 것이 현실적인 대응이다.
마무리
ChatGPT 요약 기능이 피싱 통로가 된 이유는 간단하다. 사용자가 신뢰하는 인터페이스일수록 그 안의 콘텐츠도 신뢰하게 되고, 공격자는 그 신뢰를 이용한다. 지금 당장 팀 내 외부 URL 요약 요청 절차를 점검하고, OpenAI 보안 공지를 한 번 확인하는 것으로 리스크를 크게 줄일 수 있다.
다음 글에서는 AI 자동화 파이프라인에서 외부 콘텐츠를 다룰 때의 입력 검증 패턴을 다룰 예정이다.
🐦 X에서 더 빠르게: @baegseungh7061
📚 이 시리즈 더 보기: AI 인사이트
💌 새 글 알림: X 팔로우 또는 블로그 RSS 구독
'AI 인사이트' 카테고리의 다른 글
| promptfoo — 프롬프트를 감이 아니라 점수로 비교하는 LLM 평가·레드티밍 도구 (0) | 2026.06.01 |
|---|---|
| Flowise RCE 취약점 PoC 공개 — LLM 빌더 쓴다면 오늘 확인해야 한다 (0) | 2026.05.31 |
| Claude Opus 4.8 + Dynamic Workflows: 병렬 서브에이전트 1,000개 시대의 설계 원칙 (0) | 2026.05.29 |
| Claude Code가 코드 작성 중 보안 취약점을 실시간으로 잡아주는 방법 (0) | 2026.05.28 |
| last30days-skill — 구글 대신 Reddit·X·Polymarket을 동시에 검색하는 AI 브리핑 스킬 (0) | 2026.05.27 |