오픈AI(OpenAI)가 27일(한국 시각) 외부 데이터 분석 업체인 믹스패널(Mixpanel)에서 발생한 보안 사고로 일부 API 사용자 정보가 유출됐다고 밝혔다. 오픈AI가 사용자들에게 발송한 공지 메일에 따르면, 이번 사고는 오픈AI의 API 제품 프론트엔드 인터페이스(platform.openai.com) 웹 분석에 사용되던 믹스패널 시스템 내부에서 발생했다. 오픈AI는 “이번 사고는 오픈AI 시스템에 대한 침해가 아니다”라고 강조하며, 채팅 내용, API 요청, API 사용 데이터, 비밀번호, 인증정보, API 키, 결제 정보, 정부 발급 신분증 등은 유출되거나 노출되지 않았다고 밝혔다.
사고 경위를 보면, 믹스패널은 2025년 11월 9일 공격자가 자사 시스템 일부에 무단 접근해 제한된 고객 식별 정보와 분석 데이터가 포함된 데이터셋을 유출한 사실을 인지했다. 믹스패널은 오픈AI에 조사 중임을 알렸고, 11월 25일 영향을 받은 데이터셋을 오픈AI와 공유했다. 유출 가능성이 있는 정보는 API 계정에 등록된 이름, API 계정 연동 이메일 주소, API 사용자 브라우저 기반의 대략적인 위치 정보(도시, 주, 국가), API 계정 접속에 사용된 운영체제와 브라우저, 유입 웹사이트, API 계정 연동 조직 또는 사용자 ID 등이다.
오픈AI는 대응 조치로 믹스패널을 프로덕션 서비스에서 제거하고 영향받은 데이터셋을 검토했으며, 믹스패널 및 다른 파트너사들과 긴밀히 협력해 사고 전모와 범위를 파악하고 있다고 밝혔다. 영향받은 조직, 관리자, 사용자에게 직접 알리는 작업도 진행 중이다. 믹스패널 환경 외부의 시스템이나 데이터에 영향을 미쳤다는 증거는 발견되지 않았지만, 오용 징후가 있는지 계속 모니터링하고 있다고 덧붙였다.
오픈AI는 이번 사고 검토 후 믹스패널 사용을 종료했다고 밝혔다. 또한 벤더 생태계 전반에 걸쳐 추가적이고 확대된 보안 검토를 진행하고 있으며, 모든 파트너와 벤더에 대한 보안 요건을 강화하고 있다.
오픈AI는 유출 가능성이 있는 정보가 피싱(Phishing)이나 사회공학적 공격(Social Engineering Attack)에 악용될 수 있다고 경고했다. 이름, 이메일 주소, 오픈AI API 메타데이터(사용자 ID 등)가 포함됐기 때문에 그럴듯해 보이는 피싱 시도나 스팸에 주의해야 한다고 당부했다.
오픈AI는 예상치 못한 이메일이나 메시지, 특히 링크나 첨부파일이 포함된 경우 주의할 것을 권고했다. 또한 오픈AI에서 보낸 것이라고 주장하는 메시지가 공식 오픈AI 도메인에서 발송됐는지 반드시 확인해야 한다고 안내했다. 오픈AI는 이메일, 문자, 채팅을 통해 비밀번호, API 키, 인증 코드를 요청하지 않으며, 다중 인증(Multi-Factor Authentication) 활성화로 계정을 추가 보호할 것을 권장했다.
이미지 출처: 이디오그램 생성
