무슨 일이 있었나
Varonis Threat Labs는 2026년 6월 15일에 'SearchLeak'을 공개했습니다 — CVE-2026-42824, Microsoft에서 심각(Critical)으로 평가됨 (CVSS 6.5). 공격은 M365 Copilot Enterprise Search의 세 가지 약점을 연쇄적으로 이용합니다: (1) 'q' URL 파라미터를 통한 Parameter-to-Prompt 인젝션, (2) 인젝션된 이미지 태그가 출력 새니타이제이션이 완료되기 전에 실행되는 HTML 렌더링 경합 조건, (3) CSP에서 허용된 Bing의 이미지 검색 엔드포인트를 유출 프록시로 사용하는 Bing SSRF. 정당한 microsoft.com 링크 클릭 하나로 이메일, 캘린더 이벤트, OneDrive/SharePoint 파일 및 MFA 토큰이 자동으로 유출됩니다. Microsoft는 2026년 6월 초에 서버 측에서 패치했으며, 사용자 조치는 필요하지 않습니다. 실제 악용 사례는 보고되지 않았습니다.
왜 중요한가
SearchLeak은 보안 연구자들이 공개한 세 번째 주요 Copilot 유출 체인입니다 (EchoLeak CVE-2025-32711 및 Reprompt 이후). 이는 반복되는 패턴을 보여줍니다: Prompt 인젝션 + 웹 보안 기법 (SSRF, HTML 인젝션 타이밍) = AI 어시스턴트의 높은 영향력 복합 공격 표면. 이는 AI 통합 엔터프라이즈 검색이 전통적인 URL 필터링 및 CSP 제어를 우회하는 근본적으로 새로운 유출 표면을 만든다는 것을 보여줍니다.
적용 범위
M365 Copilot Enterprise Search 고객: 서버 측에서 패치되었으며, 조치는 필요하지 않습니다. 보안 아키텍트는 AI 어시스턴트 렌더링 파이프라인, CSP 허용 목록 (특히 *.bing.com 및 유사한 신뢰된 도메인), 그리고 AI 스트리밍 출력을 신뢰할 수 없는 것으로 취급하는 것을 검토해야 합니다. 위협 모델러는 P2P 인젝션을 LLM 통합 엔터프라이즈 제품의 표준 공격 벡터로 포함시켜야 합니다.