2025년 11월 26일

최근 Mixpanel 보안 사고에 대해 알아야 할 것

2025년 12월 19일 설명: 영향을 받은 사용자를 명확히 설명하기 위해 블로그를 업데이트하고 있습니다. 원래 블로그에서는 “API 사용자”가 영향을 받았다고 명시되어 있었습니다. 여기에 추가로 “도움말 센터 티켓을 제출하거나 platform.openai.com⁠(새 창에서 열기)에 로그인한 제한된 수의 ChatGPT 사용자도 영향을 받았습니다.”라고 덧붙였습니다. 영향을 받은 모든 사용자는 사용자에게 초기 안내를 보낼 때 함께 식별되고 통보되었습니다. 이 설명 외에는 관련 정보의 유형을 포함하여 사건에 대한 이해에서 다른 변경 사항이 없습니다.

OpenAI에 있어 투명성은 매우 중요합니다. 따라서 고객님들께 Mixpanel에서 최근 발생한 보안 사고에 대한 내용을 안내해 드리고자 합니다. Mixpanel은 API 제품(platform.openai.com⁠(새 창에서 열기))의 프론트엔드 인터페이스에 대한 웹 분석을 위해 OpenAI가 이용한 데이터 분석 업체입니다.

이 사고는 Mixpanel의 시스템 내에서 발생했으며 일부 API 사용자의 제한적 분석 데이터와 관련이 있습니다. 도움말 센터 티켓을 제출하거나 platform.openai.com에 로그인한 제한된 수의 ChatGPT 사용자에게도 영향을 미쳤습니다.

이 사고는 OpenAI 시스템의 침해가 아니었습니다. 채팅, API 요청, API 사용 데이터, 비밀번호, 자격 증명, API 키, 결제 정보, 신분증이 유출되거나 노출되지 않았습니다.

무슨 일이 있었나요?

2025년 11월 9일, Mixpanel은 공격자가 Mixpanel 시스템의 일부에 무단으로 액세스하여 제한적 고객 식별 정보와 분석 정보를 포함한 데이터세트를 내보낸 사실을 인지했습니다. Mixpanel은 OpenAI에 조사를 진행 중이라고 알렸으며, 2025년 11월 25일에는 영향을 받은 데이터세트를 OpenAI에 공유했습니다.

영향받은 사용자에게 의미하는 바

platform.openai.com⁠(새 창에서 열기) 이용과 관련된 사용자 프로필 정보가 Mixpanel에서 내보낸 데이터에 포함되었을 수 있습니다. 영향을 받았을 수 있는 정보는 다음으로 제한되었습니다.

계정에서 제공된 이름
계정에 연결된 이메일 주소
사용자 브라우저를 기반으로 한 대략적인 위치(도시, 주, 국가)
계정에 액세스하는 데 사용된 운영체제와 브라우저
참조 웹사이트
계정과 연결된 조직 또는 사용자 ID

OpenAI의 대응

보안 조사의 일환으로, OpenAI는 프로덕션 서비스에서 Mixpanel을 제거하고, 영향을 받은 데이터세트를 검토했으며, 사고와 그 범위를 완전히 이해하기 위해 Mixpanel 및 다른 파트너사들과 긴밀히 협력하고 있습니다. OpenAI는 영향을 받은 조직, 관리자, 사용자에게 직접 안내를 드리는 과정에 있습니다. Mixpanel 환경 외부의 시스템이나 데이터에 영향을 미친 증거는 발견되지 않았지만, 오용의 징후가 있는지 계속 면밀히 모니터링하고 있습니다.

신뢰, 보안, 개인정보 보호는 OpenAI의 제품, 조직, 사명에 있어 근본적인 요소입니다. OpenAI는 투명성을 위해 최선을 다하고 있으며, 영향을 받은 모든 고객과 사용자들께 안내를 드리고 있습니다. 또한 OpenAI는 파트너사와 공급 업체에 그들의 서비스에 있어 최고 수준의 보안 및 개인정보 보호를 구현할 책임을 요구합니다. 이 사고를 검토한 후 OpenAI는 Mixpanel의 이용을 종료했습니다.

Mixpanel 외에도, OpenAI는 공급 업체 생태계 전반에 걸쳐 추가적이고 확장된 보안 검토를 수행하고 있으며, 모든 파트너사와 공급 업체에 대해 보안 요구 사항을 강화하고 있습니다.

염두에 두셔야 할 점

이 사고로 영향을 받았을 수 있는 정보는 여러분 또는 여러분의 조직을 대상으로 하는 피싱 또는 소셜 엔지니어링 공격의 일부로 사용될 수 있습니다.

이름, 이메일 주소, OpenAI API 메타데이터(예: 사용자 ID)가 포함되었으므로, 그럴 듯해 보이는 피싱 시도나 스팸에 대해 경계하시기를 권장합니다. 아래 사항을 유념해 주세요.

예상치 못한 이메일이나 메시지를 받을 경우, 특히 링크나 첨부 파일이 포함되어 있다면 주의하세요.
OpenAI에서 보낸 메시지라고 주장하는 경우, 반드시 공식 OpenAI 도메인에서 발송된 것인지 두 번 확인하세요.
OpenAI는 이메일, 문자 메시지, 채팅을 통해 비밀번호, API 키, 인증 코드를 요청하지 않습니다.
다단계 인증⁠(새 창에서 열기)을 사용하여 계정을 추가적으로 보호하세요.

OpenAI에서 제품의 보안과 개인정보 보호는 최우선적으로 다뤄지며, 문제 발생 시 고객의 정보를 보호하고 투명하게 소통하겠다는 확고한 의도를 밝힙니다. OpenAI를 계속 신뢰해 주셔서 감사합니다.

OpenAI

자주 묻는 질문

OpenAI가 Mixpanel을 이용한 이유는 무엇인가요?

Mixpanel은 서드파티 웹 분석 제공업체로 사용되어 제품 사용을 이해하고 API 제품(platform.openai.com) 서비스를 개선하는 데 도움을 주었습니다. 도움말 센터를 통해 티켓을 제출하거나 platform.openai.com에 로그인한 제한된 수의 ChatGPT 사용자는 위에서 설명한 정보가 Mixpanel에 의해 기록되었을 수 있습니다. 이 사용자들은 그 당시 식별되었으며 이미 알림을 받았습니다.

이 사고는 OpenAI 시스템의 취약점으로 인해 발생했나요?

아니요. 이 사고는 Mixpanel의 시스템에 국한되었으며, OpenAI의 인프라에 대한 무단 액세스는 포함되지 않았습니다.

제 조직이나 제가 영향을 받았는지 어떻게 알 수 있나요?

현재 영향을 받은 분들께 안내를 드리는 중이며, 당사자 또는 해당 조직 관리자에게 이메일을 통해 직접 연락드릴 것입니다.

제 API 데이터, 프롬프트 또는 출력이 영향을 받았나요?

아니요. 채팅 내용, 프롬프트, 응답, API 사용 데이터는 영향을 받지 않았습니다.

ChatGPT 계정이 이로 인해 영향을 받았나요?

도움말 센터를 통해 티켓을 제출하거나 platform.api.com에 로그인한 일부 ChatGPT 사용자가 영향을 받았을 수 있습니다. 해당 사용자들은 이전에 알림을 받았습니다.

OpenAI 비밀번호, API 키 또는 결제 정보가 노출되었나요?

아니요. OpenAI 비밀번호, API 키, 결제 정보, 신분증, 계정 액세스 자격 증명은 영향을 받지 않았습니다. 또한, OpenAI 서비스의 세션 token, 인증 token 및 기타 민감한 매개변수가 영향을 받지 않았음을 확인했습니다.

비밀번호를 초기화하거나 API 키를 교체해야 하나요?

비밀번호와 API 키는 영향을 받지 않았기 때문에, 이번 사고에 대한 대응으로 초기화나 키 교체를 권하지는 않습니다.

개인정보와 프라이버시 보호를 위해 어떤 조치를 실행하고 있나요?

개별적인 검토를 위해 영향을 받은 데이터세트를 확보했으며, 잠재적인 영향을 계속 조사하고 오용의 징후를 면밀히 모니터링하고 있습니다. 개별적으로 영향을 받은 모든 사용자와 조직에게 통지하고 있으며, 추가 대응 조치에 대해 Mixpanel과 연락을 취하고 있습니다.

Mixpanel이 OpenAI 제품에서 제거되었나요?

네.

계정에 다단계 인증을 사용해야 할까요?

네. 이번 사고에서 계정 자격 증명이나 token은 영향을 받지 않았지만, 최선의 보안 관행으로서 모든 사용자에게 계정을 추가적으로 보호하기 위한 다단계 인증 사용을 권장합니다. 기업 및 조직의 경우, 싱글 사인온 계층에서 다중 인증(MFA)을 사용할 것을 권장합니다.

변경 사항이 있을 경우 추가 업데이트를 받게 되나요?