글로벌 구글 제미나이 취약점, 악성 초대로 비공개 캘린더 정보 유출

구글 제미나이(Gemini)에서 발견된 프롬프트 인젝션 취약점이 악성 캘린더 초대를 통해 사용자의 비공개 일정 정보를 유출할 수 있었던 것으로 드러났다. 미국 보안 전문 매체 해커 뉴스(The Hacker News)는 1월 19일(현지 시간) 사이버보안 연구자들이 구글 제미나이를 겨냥한 간접 프롬프트 인젝션을 이용해 권한 부여 안전장치를 우회하고 구글 캘린더(Google Calendar)를 데이터 유출 메커니즘으로 악용하는 보안 결함을 공개했다고 보도했다. 미고 시큐리티(Miggo Security) 리서치 총괄인 리아드 엘리야후(Liad Eliyahu) 연구원은 이 취약점으로 인해 표준 캘린더 초대 안에 휴면 상태의 악성 페이로드를 숨기는 방식으로 구글 캘린더의 프라이버시 통제를 우회할 수 있었다고 밝혔다. 엘리야후 연구원은 해커 뉴스에 공유된 보고서에서 “이 우회는 직접적인 사용자 상호작용 없이도 비인가자가 비공개 회의 데이터에 접근하고 기만적인 캘린더 이벤트를 생성할 수 있게 했다”고 설명했다. 공격 체인의 시작점은 위협 행위자가 제작해 대상에게 전송하는 새로운 캘린더 이벤트이다. 이 초대의 설명란에는 공격자의 목적을 수행하도록 설계된 자연어 프롬프트가

• 글로벌
• 2026-01-23 15:38