챗GPT API 취약점 발견, DDoS 및 프롬프트 인젝션 공격 가능

챗GPT API 결함 발견…DDoS 및 프롬프트 인젝션 위협 우려

챗GPT API 결함 발견…DDoS 및 프롬프트 인젝션 위협 우려

 

• 취약점 개요
  • 독일 보안 연구원 벤자민 플레쉬, 챗GPT API에서 DDoS 및 프롬프트 인젝션 공격 가능성 발견
  • 챗GPT 크롤러를 임의의 웹사이트에 HTTP 요청을 증폭하도록 속일 수 있는 구조적 결함 존재
  • 오픈AI 및 마이크로소프트에 보고되었으나 아직 결함을 인정하지 않음
• DDoS 취약점 분석
  • 챗GPT 크롤러가 API 요청을 통해 무작위 웹사이트로 HTTP 트래픽을 유발할 수 있음
  • 중복 하이퍼링크 검증 없음, 요청 개수 제한 없음 → 단일 요청으로 수천 개의 하이퍼링크 포함 가능
  • 마이크로소프트 애저 서버를 활용한 대량 트래픽 생성 가능, 대상 사이트에 과부하 초래
• 프롬프트 인젝션 공격 위험
  • API의 ‘urls’ 매개변수를 통해 임의의 명령을 LLM(대형언어모델)에 전달 가능
  • 공격자가 크롤러의 웹사이트 데이터 수집 기능을 조작하여 API를 특정 쿼리에 응답하도록 유도 가능
  • 과도한 프롬프트 제출로 오픈AI 서버 부하 초래 가능
• 취약점 심각도 및 평가
  • CVSS 점수 8.6점(10점 만점)으로 높은 위험도
  • 네트워크 기반 공격 가능, 낮은 공격 복잡성, 권한 요구 없음, 광범위한 서비스 영향 예상
• 보안 권고
  • HTTP 요청 검증 강화 및 중복 하이퍼링크 제한 적용 필요
  • ‘urls’ 매개변수 검증 및 필터링 강화하여 프롬프트 인젝션 방지
  • API 트래픽 모니터링 및 비정상적인 요청 탐지 시스템 도입
  • DDoS 완화 솔루션 적용 및 크롤러의 요청 제한 정책 강화