OpenAI가 ChatGPT DNS 사이드 채널 데이터 유출 취약점을 패치하다

OpenAI patches ChatGPT flaw that smuggled data over DNS

Thomas Claburn2026년 3월 30일2분intermediate

AI 요약

Context

ChatGPT 코드 실행 환경은 아웃바운드 네트워크 요청을 직접 생성할 수 없다고 공지했으나, DNS 질의에 대한 제어는 존재하지 않았다. 이로 인해 공격자가 DNS를 사이드 채널로 활용하여 컨테이너 내부 데이터를 외부 서버로 전송하는 것이 가능했다.

Check Point researchers → ChatGPT 코드 실행 환경의 DNS 기반 데이터 유출 취약점을 발견하고 3가지 PoC 공격을 시연했다
OpenAI → 2026년 2월 20일 DNS 사이드 채널을 통한 데이터 반출을 차단하는 패치를 적용했다
공격자는 도메인 이름 조회 과정에서 캔화된 데이터를 인코딩하여 외부 서버로 전송했다

이 취약점은 GDPR 위반, HIPAA 위반, 금융 규정 위반 등 규제 산업에 심각한 합병증을 초래할 수 있는 잠재적 위험을 보여주었다.

명시적 네트워크 통신만 차단한다고 보안이 확보되지 않으며, DNS와 같은 프로토콜 수준의 사이드 채널도 반드시 고려해야 한다.

실천 포인트

AI 통합 서드파티 앱에서 파일 처리 시 ChatGPT가 외부 전송을 거부하더라도 DNS 요청을 통한 데이터 유출 가능성을 검증하고, DNS 아웃바운드 제어 및 네트워크 격리 전략을 반드시 적용해야 한다.

태그