오픈AI가 일부 사용자 이름, 이메일 주소, 위치정보 등을 포함한 개인정보가 유출됐다고 발표했다. 유출은 오픈AI가 사용하던 데이터 분석 서비스 믹스패널(Mixpanel) 보안 인시던트가 원인이며 오픈AI 시스템 자체가 공격받은 건 아니라고 밝혔다.
믹스패널은 사용자 제품 사용 현황을 분석할 수 있는 서비스로 오픈AI는 API 제품 사용 현황 분석에 믹스패널을 이용하고 있었다. 이 믹스패널이 지난 11월 9일 외부로부터 불법 접근을 받아 고객 식별정보와 분석정보를 포함한 데이터셋이 외부로 유출된 것으로 판명됐다. 오픈AI는 11월 25일 영향을 받은 데이터 세부사항을 믹스패널과 공유했으며 공격 사실을 11월 26일 공표했다.
유출되었을 가능성이 있는 데이터는 API 사용자 이름과 이메일 주소, 브라우저에서 취득된 위치정보(국가・주・도시 등), API 사용자가 사용하던 OS 및 브라우저, 참조 웹사이트, API 계정에 연결된 사용자 ID 또는 조직 ID 등이다.
오픈AI는 영향을 받은 조직과 개인에 대한 통지를 진행하고 있다. 또 믹스패널 사용은 이미 중단했으며 기타 사용 중인 제품에 대해서도 광범위한 보안 검토를 실시했다고 밝혔다.
유출된 정보에 이름, 이메일 주소, 사용자 ID 등이 포함되어 있었던 만큼 영향을 받는 사용자에게는 오픈AI 관계자를 사칭한 피싱 공격 등의 위험이 발생하고 있다. 오픈AI는 오픈AI가 이메일이나 텍스트를 통해 비밀번호・API 키・인증 코드와 같은 정보 공개를 요구하는 일은 없다며 대책을 당부했다. 첫째 예상치 못한 이메일이나 메시지에 주의하라는 것. 그 중에서도 링크나 첨부파일을 포함한 것에 주의해야 한다. 둘째 오픈AI에서 발송됐다고 주장하는 메시지 도메인을 재확인하라는 것. 셋째 다단계 인증을 활성화한다는 것이다.
한편 이번에 유출된 정보에 비밀번호나 API 키는 포함되어 있지 않으며 비밀번호나 API 키의 변경은 권장되지 않는다. 관련 내용은 이곳에서 확인할 수 있다.
