기업들은 생산성 목표를 지원하기 위해 마이크로소프트 코파일럿과 같은 AI 지원 기술을 꾸준히 도입하고 있다. 그러나 기본 데이터 액세스 권한 및 시스템 연결성으로 인해 의도치 않게 데이터 유출, 데이터 개인정보 보호 위반 및 프롬프트 인젝션 공격의 위험에 노출되고 있다.

이에 공격 표면 관리 기술 제공업체인 카벨로(Cavelo)는 마이크로소프트 코파일럿 통합과 관련된 사이버 보안 및 데이터 개인정보 보호 위험을 완화하는 마이크로소프트 코파일럿 준비 보고서 기능을 발표했다.

카벨로의 마이크로소프트 코파일럿 준비 보고서는 여러 스캔 모듈을 결합하여 마이크로소프트 코파일럿 상호 작용을 감사하고 개인 식별 정보(PII)에 대한 액세스 위험을 초래하는 익명 또는 조직 전체 공유 링크가 있는 파일을 식별한다.

주요 기능은 다음과 같다.

⦁감사: 마이크로소프트 코파일럿이 사용하는 파일과 해당 파일과 관련된 PII 데이터를 모니터링한다.

⦁발견: 마이크로소프트 코파일럿 상호 작용을 감사하고, PII에 영향을 미치는 익명 공유 링크를 찾아내며, 마이크로소프트 코파일럿 사용을 위한 마이크로소프트 O365 구성을 강화한다.

⦁가시성: 권한 요약과 검색에 액세스하여 마이크로소프트 코파일럿 사용자가 액세스할 수 있는 PII 또는 마이크로소프트 민감도 레이블이 있는 파일을 식별한다.

⦁위험 명확성: 마이크로소프트 코파일럿이 클라이언트의 민감한 데이터를 읽을 수 있는 위치(PII가 포함된 파일 중 익명 공유 링크가 있는지)를 파악하기 위해 스캔 결과를 차트화하고 컴파일한다.

⦁시스템 및 파일 상호 작용: 마이크로소프트 코파일럿이 상호 작용한 파일과 해당 상호 작용과 관련된 엔티티를 확인한다.

⦁벤치마킹: CIS 벤치마크 결과를 적용하여 구성된 마이크로소프트 O365 데이터 및 벤치마크 커넥터를 통해 테넌트 구성 보안을 평가한다.

카벨로의 CEO인 제임스 미냐카(James Mignacca)는 “많은 기업들이 비용 절감을 위해 마이크로소프트 코파일럿과 같은 생성AI 도구를 서둘러 도입하고 있지만, 효율성을 추구하는 과정에서 민감한 데이터를 노출시키고 공격 표면을 확대할 수 있는 사이버 보안 위험을 간과하고 있다. MSSP에게 고객을 대신하여 이러한 위험을 설명하는 것은 복잡한 일이다. 카벨로의 마이크로소프트 코파일럿 준비 보고서는 MSSP(Managed Security Service Providers)에게 위험 완화 노력을 간소화하는 동시에 고객에게 가치를 입증할 수 있는 분석을 제공한다.”라고 말했다.