두 개의 AI 동반 애플리케이션인 Chattee Chat 및 GiMe Chat과 관련된 심각한 데이터 유출로 인해 4,300만 개 이상의 비공개 메시지가 노출되었습니다. 사이버보안 연구그룹 사이버뉴스(Cybernews)가 발견한 이 사건은 또한 60만 개 이상의 이미지와 비디오를 유출해 사용자가 AI 플랫폼에 개인적인 상호작용을 맡길 때 나타나는 보안 취약성을 부각시켰다. 앱 개발자는 홍콩에 본사를 둔 Imagime Interactive Limited입니다. 2025년 8월 28일 Cybernews의 연구원들은 Imagime Interactive Limited가 운영하는 공개적으로 노출된 Kafka Broker 서버를 식별했습니다. 서버에는 보안 보호가 전혀 적용되지 않았습니다. 즉, 인증 요구 사항이나 액세스 제어가 없었습니다. 이러한 보안 부족으로 인해 누구든지 여기에 포함된 데이터에 액세스할 수 있었습니다. 서버는 사용자와 AI 동료 간의 실시간 대화를 적극적으로 스트리밍하고 있었습니다. 노출된 데이터에는 문자 기반 메시지뿐만 아니라 앱 내에서 교환되는 개인 사진, 동영상, AI 생성 이미지에 대한 직접 링크도 포함되었습니다. 연구원들은 노출된 콘텐츠 중 일부를 “사실상 업무에 안전하지 않다”고 설명했는데, 이는 유출된 정보의 친밀하고 민감한 성격을 나타냅니다. 이 침해 사고는 iOS와 Android 플랫폼 모두에서 총 400,000명의 사용자에게 영향을 미쳤습니다. 조사에 따르면 노출된 데이터의 약 3분의 2는 iOS 사용자로부터 발생했으며 나머지 1/3은 Android 기기 사용자로부터 발생했습니다. 유출로 인해 영향을 받은 개인의 대부분은 미국에 있었습니다. 유출된 데이터에는 전체 이름이나 이메일 주소가 포함되어 있지 않았지만 사용자 IP 주소, 고유 장치 ID 등 기타 중요한 식별자가 포함되어 있었습니다. 이 정보는 다른 데이터 소스와 상호 참조되어 개인을 추적하고 잠재적으로 식별할 수 있습니다. 분석 결과, 사용자는 AI 파트너에게 각각 평균 107개의 메시지를 보낸 것으로 나타났습니다. 이 활동은 신원 도용, 표적 괴롭힘 또는 협박과 같은 악의적인 목적으로 활용될 수 있는 개인적인 생각과 상호 작용을 포함하여 각 사용자에게 상당한 디지털 발자국을 만들었습니다. 조사를 통해 재무 세부 사항도 밝혀졌습니다. 노출된 데이터에 포함된 구매 로그에 따르면 일부 사용자는 앱에 상당한 금액을 지출했으며, AI 동료와 상호 작용하는 데 개인 지출은 최대 18,000달러에 달했습니다. 데이터 유출이 발견되기 전에 개발자는 이러한 애플리케이션을 통해 100만 달러 이상의 수익을 올린 것으로 추정됩니다. Imagime Interactive Limited는 개인 정보 보호 정책에서 사용자 보안이 “가장 중요하다”고 명시했습니다. 그러나 서버에 인증 수단이 전혀 없다는 것은 이러한 주장과 직접적으로 모순되며 민감한 사용자 데이터에 대한 기본 보안 보호 장치를 구현하는 데 중대한 실패가 있음을 드러냅니다. 취약점을 발견한 Cybernews는 즉시 Imagime Interactive Limited에 문제를 보고했습니다. 보안되지 않은 서버는 결국 9월 중순에 오프라인 상태가 되었습니다. 제거되기 전에 해당 서버는 인터넷에 연결된 장치를 색인화하는 플랫폼인 공용 IoT 검색 엔진에 나열되었습니다. 이러한 검색 엔진에 존재함으로써 취약한 시스템을 적극적으로 검색하는 사이버 범죄자가 쉽게 발견할 수 있게 되었습니다. 서버가 보안되기 전에 악의적인 행위자가 손상된 데이터에 액세스했는지 여부는 불분명합니다. 다운로드한 대화와 이미지는 여전히 섹스토션 사기, 피싱 공격을 촉진하는 데 사용될 수 있으며 영향을 받는 사용자의 평판에 심각한 손상을 입힐 수 있으므로 피해 가능성은 계속됩니다. 침해에 대응하여 사이버 보안 전문가는 사용자가 AI 애플리케이션을 사용할 때 데이터를 보호할 수 있는 몇 가지 팁을 설명했습니다.
- 공유하기 전에 생각해 보세요. 사용자는 AI 채팅 애플리케이션을 통해 개인적이거나 민감한 콘텐츠를 보내지 않아야 합니다. 데이터가 공유되면 이에 대한 통제력이 사실상 상실됩니다.
- 평판이 좋은 AI 도구를 사용하세요. 투명한 개인 정보 보호 정책과 강력한 보안 조치에 대한 검증된 실적을 갖춘 개발자의 애플리케이션을 선택하는 것이 좋습니다.
- 온라인으로 데이터를 제거하세요: 데이터 제거 서비스를 이용하면 공용 데이터베이스에서 개인 정보를 제거하는 데 도움이 될 수 있습니다. 완전한 솔루션은 아니지만 사기꾼이 사용할 수 있는 정보가 제한될 수 있습니다.
- 강력한 바이러스 백신 소프트웨어로 사이버 보안을 강화하세요. 평판이 좋은 바이러스 백신 소프트웨어를 설치하면 사기를 차단하고 침입을 탐지하며 사용자에게 피싱 시도에 대해 경고함으로써 방어 계층을 제공합니다.
- 비밀번호 관리자와 MFA로 계정을 보호하세요. 강력하고 고유한 비밀번호를 위해 비밀번호 관리자를 사용하고 다단계 인증(MFA)을 활성화하는 것은 무단 계정 액세스를 방지하는 중요한 단계입니다.
이번 데이터 유출은 AI 채팅 애플리케이션이 막대한 양의 매우 민감한 데이터를 저장하고 있음을 상기시켜주는 역할을 합니다. 이 데이터가 손상되면 협박, 사칭, 대중의 당혹감을 비롯한 심각한 결과를 초래할 수 있습니다. 이번 사건은 성장하는 AI 동반 산업 내에서 더 강력한 보안 표준과 더 큰 책임의 필요성을 강조합니다. 사용자의 경우, 자신의 데이터가 어떻게 처리되고 보호되는지에 대한 인식을 높이는 것은 개인 정보가 온라인에 노출되는 것을 방지하기 위한 중요한 첫 번째 단계입니다.
