2026.07.13 06:21 PM

애플 "전직원, 오픈AI 이직 후 '희귀' 인증 버그 악용해 기밀 파일 빼내"

By 이재경

애플이 오픈AI(OpenAI)를 상대로 영업비밀 절취 혐의로 소송을 제기했다고 밝히면서, 오픈AI가 애플의 기밀 데이터를 빼돌리고 애플 전직원 채용 과정에서 독점 정보를 취득하려 했다는 폭탄 발언을 내놨다고 IT매체 테크크런치(TechCrunch)가 13일(월) 보도했다.

보도에 따르면 애플은 오픈AI가 미공개 제품에 관한 자사 기밀을 훔쳤다고 주장하는 과정에서, 한 전직원이 애플을 퇴사하고 오픈AI에 입사한 지 몇 주 만에 회사 공유 네트워크 폴더에서 다량의 민감한 파일을 빼돌렸다는 사실을 공개했다.

애플
(애플로고. 자료화면)

애플이 법원에 제출한 소장에 따르면, 문제의 전직원은 시스템 전기 엔지니어인 창 리우(Chang Liu)로, 그는 애플 네트워크 접근을 가능하게 하는 "이전에는 알려지지 않았던 희귀한 인증 버그를 악용"한 것으로 알려졌다. 해당 버그는 이른바 '제로데이(zero-day)' 취약점으로 분류되는데, 이는 애플이 이를 사전에 발견해 고칠 시간조차 없었다는 의미다.

애플 측은 해당 버그를 이미 수정했으며, 이 "보안 침해" 사실을 인지한 즉시 해당 직원의 접근 권한을 차단했다고 밝혔다. 소장에서 애플은 이 버그로 인해 "소수의 다른" 인원도 네트워크 데이터에 접근할 수 있었을 가능성이 있다고 언급하면서도, 서버 로그 점검 결과 실제로 퇴사 후 이 버그를 악용해 기밀정보를 빼낸 사람은 리우뿐이었다고 주장했다.

이번 공개 내용은 세부 사항이 많지 않지만, 직원이 퇴사한 이후에도 기업들이 민감한 회사 데이터를 보호하는 데 겪는 어려움을 여실히 보여준다. 기업들은 통상 퇴사자가 추가로 정보에 접근하지 못하도록 즉시 조치를 취해 실수로라도 민감 정보가 외부로 유출되는 것을 막으려 한다. 반대로 퇴사 직원 계정을 완전히 정리하지 못한 기업은 이후 보안 사고나 데이터 유출, 혹은 불만을 품은 직원의 악의적 행위에 노출될 위험이 있다.

테크크런치는 해당 보안 취약점의 구체적 내용과 악용 경위, 그리고 애플이 해당 직원의 접근 권한을 언제 해지했는지 등을 묻는 이메일을 애플 측에 보냈지만 답변을 받지 못했다고 전했다.

"완전 웃기네(LOL... so funny)."

소장에 따르면 리우는 오픈AI에 신입으로 재직하던 수 주 동안 "애플의 기밀 하드웨어 관련 파일 수십 건"을 빼낸 것으로 알려졌다.

애플은 이 파일들에 "미공개 제품에 관한 상세 정보, 엔지니어링 프레젠테이션 자료, 기술 사양, 독점 프로젝트 데이터" 등이 포함돼 있었다고 밝혔다.

애플 측 주장에 따르면 리우는 애플 네트워크에 접근할 때 사용했던 회사 지급 업무용 노트북을 반납하지 않았는데, 이는 그가 여전히 애플 내부 시스템과 파일을 주고받을 수 있었음을 시사한다. 소장에는 리우가 "다른 컴퓨터가 있다"고 주장했다는 내용도 담겼다. 아울러 리우는 오픈AI 재직 중, 지인이자 당시 애플 직원이었다가 이후 오픈AI로 이직한 위팅 펑(Yu-Ting Peng)의 접근 권한을 부적절하게 이용한 것으로 알려졌다. 리우는 "펑이 여전히 애플에 재직 중이고 자신은 그렇지 않은 상태에서" 그녀에게 지급된 애플 업무용 노트북을 사용했다는 것이다.

애플에 따르면 리우는 2026년 2월 중 "애플의 기밀 엔지니어링 파일, 프로젝트 문서 및 기타 독점 정보가 담긴 클라우드 기반 파일 저장소인 애플 네트워크 스토리지"에 접근을 시도했다.

리우는 애플 퇴사 후에도 당시에는 알려지지 않았던 인증 취약점 덕분에 "여전히 애플의 네트워크 저장소에 접근할 수 있다는 사실을 발견했다"고 소장은 밝히고 있다.

애플은 리우가 자사 네트워크에 접근하기 위해 악용했다는 구체적인 인증 "버그"의 내용은 소장에 명시하지 않았다. 다만 통상 인증 버그란 로그인 절차상의 결함으로 인해 시스템이나 데이터에 부적절한 접근이 가능해지는 상황을 가리키며, 이는 로그인 메커니즘 자체의 취약성 때문일 수도 있고, 과도한 권한 부여나 퇴사자 계정 미해지 같은 설정 오류 때문일 수도 있다.

애플은 소장에서, 리우가 자신이 애플 시스템에 무단으로 접근할 수 있다는 사실을 알게 됐을 때 고용계약상 의무에 따라 이를 애플에 신고하지도 않았고, 지급받은 업무용 노트북도 반납하지 않았다고 밝혔다.

소장은 또한 리우가 애플 네트워크 접근을 가능케 한 "프로그램을 삭제하는 데도 실패했다"고 덧붙였다. 다만 애플은 리우가 자사 시스템에 접근하는 데 사용했다는 구체적인 프로그램이나 앱이 무엇인지는 밝히지 않았다. 직원들이 사내 승인을 받은 VPN이나 원격 접속 앱 같은 도구를 이용해 자신의 계정 정보로 사무실 밖에서도 민감한 데이터에 접근할 수 있도록 하는 경우는 드물지 않다.

리우가 과거 재직 당시 애플 네트워크 접근 권한을 부여받았던 점을 감안해, 테크크런치는 애플에 리우의 접근 권한을 언제 해지했는지 질의했으나 답변을 듣지 못했다.

리우는 네트워크 공유 폴더에 접근한 것으로 알려진 뒤 펑에게 "완전 웃기네, 나 [네트워크 스토리지]에 접근할 수 있다는 걸 알았어(LOL, I found out I can access the [network storage], so funny)"라는 메시지를 보낸 것으로 전해졌다.

애플은 캘리포니아 북부지방법원 새너제이(San Jose) 지원에 이번 소송을 제기했으며, 배심원 재판을 요청한 상태다. 오픈AI 측은 앞서 "다른 회사의 영업비밀에는 관심이 없다"는 입장을 밝힌 바 있다.

이 소송이 실제로 진행될 경우 올해 안에 재판이 시작될 수 있을 것으로 보인다.