연구원들은 자연어 지침을 사용하여 Google Gemini의 방어를 우회하여 개인 캘린더 데이터를 유출하는 오해의 소지가 있는 이벤트를 생성했습니다. 이 방법을 사용하면 캘린더 이벤트 설명을 통해 공격자에게 민감한 데이터를 유출할 수 있습니다. Google의 LLM 어시스턴트인 Gemini는 Google 웹 서비스와 Gmail, 캘린더 등의 Workspace 앱을 통합합니다. Gemini 기반 캘린더 초대 공격은 설명에 프롬프트 주입 페이로드가 포함된 이벤트 초대를 대상에게 보내는 것으로 시작됩니다. 유출 활동은 피해자가 Gemini에게 자신의 일정에 대해 문의할 때 시작됩니다. 이로 인해 어시스턴트는 공격자의 페이로드가 있는 이벤트를 포함하여 모든 관련 이벤트를 로드하고 구문 분석합니다. ADR(애플리케이션 탐지 및 응답) 플랫폼인 Miggo Security의 연구원들은 자연어 지침을 제공하여 Gemini를 속여 캘린더 데이터를 유출할 수 있다는 사실을 발견했습니다. 여기에는 다음이 포함됩니다. 개인 회의를 포함하여 특정 날짜의 모든 회의를 요약합니다. 해당 요약으로 새 캘린더 이벤트를 생성합니다. 그리고 사용자에게 무해한 메시지로 응답합니다. 연구진은 “Gemini는 도움이 되는 이벤트 데이터를 자동으로 수집하고 해석하기 때문에 이벤트 필드에 영향을 미칠 수 있는 공격자가 모델이 나중에 실행할 수 있는 자연어 명령을 심을 수 있다”고 설명했습니다. 그들은 이벤트의 설명 필드를 제어하면 해로운 결과가 있더라도 Google Gemini가 준수할 프롬프트를 삽입할 수 있다는 사실을 발견했습니다. 악의적인 초대의 페이로드는 피해자가 Gemini에게 일정에 대해 일상적인 질문을 할 때까지 휴면 상태로 유지됩니다. 악성 캘린더 초대에 포함된 명령을 실행하면 Gemini는 새 이벤트를 생성합니다. 이 새 이벤트 설명에 비공개 회의 요약을 기록합니다. 많은 기업 설정에서 업데이트된 설명이 이벤트 참가자에게 표시되어 잠재적으로 공격자에게 중요한 정보가 유출될 수 있습니다. Miggo는 Google이 기본 Gemini 보조자에서 악성 메시지를 탐지하기 위해 별도의 격리된 모델을 사용한다고 언급했습니다. 그러나 그들의 공격은 지시사항이 안전해 보였기 때문에 이 안전 장치를 우회했습니다. 악성 캘린더 이벤트 제목을 통한 프롬프트 삽입 공격은 새로운 것이 아닙니다. 2025년 8월, SafeBreach는 악의적인 Google 캘린더 초대가 Gemini 에이전트를 악용하여 민감한 사용자 데이터를 유출할 수 있음을 시연했습니다. Miggo의 연구 책임자인 Liad Eliyahu는 다음과 같이 말했습니다. Bleeping컴퓨터 새로운 공격은 Google이 SafeBreach의 보고 이후 추가 방어 조치를 구현했음에도 불구하고 Gemini의 추론 능력이 여전히 조작에 취약하다는 것을 보여줍니다. Miggo는 그 결과를 Google과 공유했으며 이후 새로운 완화 조치를 추가했습니다. Miggo의 공격 개념은 모호한 의도를 지닌 자연어를 기반으로 하는 AI 시스템에서 새로운 공격 모델을 예상하는 것의 복잡성을 강조합니다. 연구원들은 이러한 취약점을 해결하려면 애플리케이션 보안이 구문 감지에서 상황 인식 방어로 발전해야 한다고 제안합니다.
주요 이미지 크레딧
