( 출처 : The Verge )
3월 25일(현지시간) IT 전문 매체 더버지(The Verge)는 오픈AI의 챗GPT(ChatGPT)에서 채팅 제목 유출에 이어 사용자의 결제 관련 정보까지 유출됐을 수 있다는 소식을 전했다.
사건은 지난 20일, 미국 온라인 사이트 레딧(Reddit)의 한 사용자의 폭로에서 시작됐다. 레딧 사용자는 챗GPT를 이용하는 과정에서 자신이 나누지 않았던 채팅 기록이 확인된다는 글을 게시했다. 오류로 추정되는 챗GPT의 채팅창 화면도 캡처해 함께 첨부했다.
공유된 이미지 속에는 챗GPT 웹 사이트 왼쪽에 자리한 사이드바에 사용자가 챗GPT와 나눴던 채팅 기록 대신 다른 사용자들과 챗GPT가 나눴던 채팅 제목이 목록별로 나열됐다. 원래는 챗GPT의 사이드바에는 본인이 챗GPT와 나눴던 채팅 기록만 남아야 한다. 그 중 다행히도 채팅 제목만 유출됐을 뿐, 사용자가 챗GPT와 나눴던 대화 내용까지는 유출되지 않았다.
해당 결함은 미국 블룸버그(Bloomberg) 통신의 보도를 시작으로, 여러 매체를 통해 일파만파 퍼졌다. 그리고 이를 확인한 오픈AI 측은 결함에 대해 즉시 인지하고, 곧바로 챗GPT 서비스를 비활성화 상태로 전환했다.
오픈AI의 대변인은 블룸버그 통신을 비롯한 각종 매체와의 인터뷰에서 자체 오픈 소스 소프트웨어에서 발생한 오류 같다고 전했다. 뒤이어 최대한 빨리 복원하기 위해 노력하겠다는 말을 덧붙였다.
하지만 이때까지 오픈AI는 해당 오류의 원인을 정확하게 파악하지 못한 상태였다. 언론들의 질문에 자세하게 답변하지 못했다. 그저 버그 발생 원인을 파악한 후 빠르게 후속 조치하겠다는 언급만 할 뿐, 정확히 언제 완벽히 복구해 다시 사용자들에게 서비스를 재개할지에 대해선 알리지 않았다.
그 뒤로부터 4일 뒤, 오픈AI는 원인 파악했고 이를 자사 공식 블로그에서 알렸다. 챗GPT 오픈 소스 소프트웨어(OSS)인 ‘레디스(Redis)’에서 과부하가 발생하고, 또 서로 다른 사용자들이 동시 접속해 챗GPT 서비스를 이용하는 상황이 동시에 맞물린다면 다른 사용자에게 채팅 제목 기록이 노출될 수 있다고 전했다.
오픈AI는 문제의 원인을 파악하는 과정에서 새로운 문제가 발견됐다는 소식도 전했다. 3월 20일 4시에서 13시 사이에 챗GPT 서비스를 사용했던 챗GPT 플러스(ChatGPT Plus) 유료 버전 구독자들의 결제 관련 정보 사항도 유출됐을 수 있다고 진술했다.
결제 관련 정보는 채팅 기록 유출보다도 더욱 민감한 사용자의 개인 정보다. 이번에 노출됐을 정보의 종류에는 △사용자의 성과 이름 △이메일 주소 △서비스 결제 주소 △ 신용 카드 번호의 마지막 4자리 번호 △신용카드 이용 만료 날짜가 포함됐다.
오픈AI 측은 이번 오류로 전체 신용 카드 번호까지는 노출되지 않은 것으로 파악된다고 주장했다. 또, 해당 정보가 유출돼 영향을 받았을 사용자는 전체 이용자의 1.2% 정도로 매우 적다고 해명했다.
오픈 AI는 결제 정보 유출 문제를 해결했다는 사실과 함께 조치 과정을 공유했다. 먼저, 이번 버그에 대한 수정 사항을 내부적으로 광범위하게 테스트했다고 밝혔다. 그리고 레디스 소프트웨어에서 유출된 데이터가 서비스 사용자의 데이터와 일치하는지 확인하기 위해 중복 검사 과정을 추가했다고 말했다. 뿐만 아니라 과부하에 걸린 레디스 소프트웨어에서 오류가 발생하는 특징을 파악한 후, 이를 개선했다고 전했다.
(출처: Bleeping computer)
오픈AI 측은 이번 버그에 대한 신속한 해결은 레디스 오픈 소스 소프트웨어 관리자와의 ‘환상적인 협력’이 있었기에 가능했다고 했다. 또한, 레디스 소프트웨어는 챗GPT 서비스를 확장하기 위해 꼭 필요한 존재이기에 앞으로도 계속 해당 소프트웨어를 통해 챗GPT 서비스를 지원할 것이라고 밝혔다.
물론, 위에서 언급한 바와 같이 오픈AI는 레디스에서 나타났던 오류의 원인을 찾아 해결했다고 발표했다. 하지만 해당 소프트웨어에서 발생됐던 문제였던 만큼, 사용자들이 이를 다시 신뢰하고 챗GPT 서비스 이용을 계속 이어나갈 수 있을지에 대해 의문이 남는다. 또, 현재 오픈AI를 비롯한 다른 IT 기업에서 제공한 서비스에서도 사용자의 개인 정보가 유출됐다는 소식도 끊이질 않는다. 따라서 IT 기업들은 빠른 서비스 개발과 배포에만 급급해하지만 말고 개인 정보 보안 체계 확립에도 무게를 두고 제작해야 할 것이다.
테크플러스 에디터 김혜인, 나유권
tech-plus@naver.com
