앤트로픽(Anthropic)의 인공지능(AI) 챗봇 클로드(Claude)에서 사용자 세션 데이터가 유출될 수 있다는 심각한 버그 보고서가 깃허브(GitHub)에 올라와 논란이 되고 있습니다. 한 기업용 ZDR 워크스페이스 사용자가 자신의 작업과 전혀 무관한 마인크래프트(Minecraft) 관련 대화 내용을 클로드 에이전트로부터 받으면서, 워크스페이스 간 또는 소비자 계정 간 캐시/세션 정보가 유출되었을 가능성이 제기되었습니다.
이 버그는 macOS 환경에서 발생했으며, 사용자는 기업용 ZDR 워크스페이스에 인증된 상태였습니다. 그럼에도 불구하고 클로드가 갑자기 마인크래프트 사원 건설에 대한 질문을 하거나 관련 내용을 요약하는 등, 다른 사용자의 대화 내용으로 추정되는 정보가 자신의 세션에 노출된 것입니다. 이는 클로드의 캐시가 워크스페이스별로 격리되지 않았거나, 심지어 기업용 플랜과 일반 소비자 플랜 간에도 데이터가 섞일 수 있음을 시사합니다. 만약 후자의 경우라면, 기업의 민감한 대화 내용이 외부로 유출될 수 있다는 점에서 심각한 보안 문제를 야기할 수 있습니다.
이번 세션 유출 가능성 보고는 대규모 언어모델(LLM) 기반 서비스의 보안과 데이터 격리(data isolation)에 대한 중요한 질문을 던집니다. 특히 기업 고객들은 민감한 정보와 기밀 데이터를 다루기 때문에, AI 챗봇이 제공하는 환경에서 데이터가 안전하게 보호되고 격리되는 것이 필수적입니다. 이러한 종류의 버그는 기업들이 AI 도입을 망설이게 하는 주요 요인이 될 수 있으며, AI 서비스 제공업체들은 사용자 데이터 보호를 최우선 과제로 삼아야 할 것입니다.