Articleopenai.com·2025년 11월 26일·0

What to know about a recent Mixpanel security incident

Quick Summary

OpenAI는 Mixpanel 시스템 침해로 일부 API 사용자 및 제한된 ChatGPT 사용자의 분석성 식별 정보가 노출됐을 수 있다고 알리며, OpenAI 시스템·대화·API 키·결제 정보는 영향받지 않았다고 설명했다.

What to know about a recent Mixpanel security incident 관련 대표 이미지

🖼️ 인포그래픽

What to know about a recent Mixpanel security incident 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

What to know about a recent Mixpanel security incident 내용을 설명하는 본문 이미지

💡 한 줄 요약

OpenAI는 Mixpanel 시스템 침해로 일부 API 사용자 및 제한된 ChatGPT 사용자의 분석성 식별 정보가 노출됐을 수 있다고 알리며, OpenAI 시스템·대화·API 키·결제 정보는 영향받지 않았다고 설명했다.

📌 핵심 요약

  • OpenAI는 2025년 11월 26일 Mixpanel 보안 사고에 대해 공지했고, 12월 19일에는 영향을 받은 사용자 설명을 명확히 하기 위해 블로그를 수정했다고 밝혔다.
  • 사고는 OpenAI 시스템이 아니라 OpenAI가 API 제품의 프런트엔드 웹 분석에 사용하던 제3자 분석 제공업체 Mixpanel의 시스템 안에서 발생했다.
  • 영향을 받을 수 있는 정보는 계정 이름, 이메일 주소, 브라우저 기반의 대략적 위치, 운영체제와 브라우저 정보, 유입 웹사이트, 조직 또는 사용자 ID 등 제한된 식별·분석 정보로 설명됐다.
  • OpenAI는 채팅 내용, API 요청, API 사용 데이터, 비밀번호, 인증 정보, API 키, 결제 정보, 정부 발급 신분증, 세션 토큰이나 인증 토큰은 유출되지 않았다고 밝혔다.
  • OpenAI는 Mixpanel을 프로덕션 서비스에서 제거하고 사용을 종료했으며, 영향을 받은 사용자와 조직에 직접 알리고 벤더 생태계 전반의 보안 검토와 요구사항을 강화하고 있다고 밝혔다.

🧩 주요 포인트

  1. OpenAI는 2025년 11월 26일 Mixpanel 보안 사고에 대해 공지했고, 12월 19일에는 영향을 받은 사용자 설명을 명확히 하기 위해 블로그를 수정했다고 밝혔다.
  2. 사고는 OpenAI 시스템이 아니라 OpenAI가 API 제품의 프런트엔드 웹 분석에 사용하던 제3자 분석 제공업체 Mixpanel의 시스템 안에서 발생했다.
  3. 영향을 받을 수 있는 정보는 계정 이름, 이메일 주소, 브라우저 기반의 대략적 위치, 운영체제와 브라우저 정보, 유입 웹사이트, 조직 또는 사용자 ID 등 제한된 식별·분석 정보로 설명됐다.
  4. OpenAI는 채팅 내용, API 요청, API 사용 데이터, 비밀번호, 인증 정보, API 키, 결제 정보, 정부 발급 신분증, 세션 토큰이나 인증 토큰은 유출되지 않았다고 밝혔다.
  5. OpenAI는 Mixpanel을 프로덕션 서비스에서 제거하고 사용을 종료했으며, 영향을 받은 사용자와 조직에 직접 알리고 벤더 생태계 전반의 보안 검토와 요구사항을 강화하고 있다고 밝혔다.

🧠 상세 정리

1. 공지의 목적과 12월 정정 내용

OpenAI는 투명성이 중요하다는 이유로 Mixpanel 보안 사고를 사용자에게 알린다고 설명했다. 원래 공지는 영향을 받은 대상을 “API 사용자”로 표현했지만, 2025년 12월 19일 정정에서 헬프센터 티켓을 제출했거나 platform.openai.com에 로그인했던 제한된 수의 ChatGPT 사용자도 포함된다고 명확히 했다. 이 정정은 영향 범위의 표현을 보완한 것이며, OpenAI는 사고에 대한 이해나 관련 정보의 종류가 바뀐 것은 아니라고 밝혔다. 또한 해당 사용자들은 최초 사용자 안내 과정에서 이미 식별되고 통지됐다고 설명했다.

2. 사고가 발생한 위치와 영향 범위

본문은 이번 사건이 OpenAI의 시스템 침해가 아니라 Mixpanel 시스템 내부에서 발생한 사건이라고 반복해서 강조한다. Mixpanel은 OpenAI가 API 제품인 platform.openai.com의 프런트엔드 웹 분석을 위해 사용하던 데이터 분석 제공업체였다. 사고는 일부 API 사용자와, 헬프센터 티켓을 제출했거나 platform.openai.com에 로그인했던 제한된 ChatGPT 사용자와 관련된 제한적 분석 데이터에 영향을 준 것으로 설명됐다. OpenAI는 OpenAI 인프라에 대한 무단 접근은 없었고, Mixpanel 환경 밖의 시스템이나 데이터에 영향이 있었다는 증거도 발견하지 못했다고 밝혔다.

3. 노출 가능성이 있는 정보와 제외된 정보

OpenAI가 제시한 노출 가능 정보는 계정에 제공된 이름, 계정 이메일 주소, 브라우저 기반의 대략적 위치, 계정 접근에 사용된 운영체제와 브라우저, 참조 웹사이트, 계정과 연결된 조직 또는 사용자 ID에 한정된다. 이는 고객 식별 정보와 분석 정보의 일부로 설명되며, 본문은 이를 “limited”한 정보라고 표현한다. 반대로 채팅 내용, API 요청, API 사용 데이터, 프롬프트와 응답, 비밀번호, 자격 증명, API 키, 결제 정보, 정부 발급 신분증은 손상되거나 노출되지 않았다고 밝혔다. FAQ에서는 세션 토큰, 인증 토큰, OpenAI 서비스의 기타 민감한 파라미터도 영향받지 않았다고 추가로 확인했다.

4. 사건 인지와 데이터 검토 과정

Mixpanel은 2025년 11월 9일 공격자가 자사 시스템 일부에 무단 접근해 제한된 고객 식별 정보와 분석 정보가 담긴 데이터셋을 내보낸 사실을 인지했다. 이후 Mixpanel은 OpenAI에 조사를 진행 중이라고 알렸고, 2025년 11월 25일 OpenAI에 영향을 받은 데이터셋을 공유했다. OpenAI는 해당 데이터셋을 받아 독립적으로 검토하고 있으며, 잠재적 영향을 계속 조사하고 있다고 설명한다. 또한 영향을 받은 조직, 관리자, 사용자에게 직접 통지하는 절차를 진행 중이며, 새로운 정보가 사용자에게 실질적으로 영향을 준다면 FAQ와 안내를 업데이트하겠다고 밝혔다.

5. OpenAI의 대응과 Mixpanel 사용 종료

OpenAI는 보안 조사 과정의 일환으로 Mixpanel을 프로덕션 서비스에서 제거하고, 영향을 받은 데이터셋을 검토했으며, 사고의 범위와 성격을 더 완전히 이해하기 위해 Mixpanel 및 다른 파트너들과 협력하고 있다고 밝혔다. 회사는 신뢰, 보안, 개인정보 보호가 제품과 조직, 사명의 기반이라고 설명하면서 모든 영향을 받은 고객과 사용자를 통지하겠다고 했다. 또한 파트너와 벤더에게도 높은 수준의 보안과 개인정보 보호 기준을 요구한다고 밝혔다. 이 사건 검토 후 OpenAI는 Mixpanel 사용을 종료했으며, Mixpanel 외의 벤더 생태계 전반에 대해서도 추가적이고 확대된 보안 검토를 수행하고 보안 요구사항을 높이고 있다고 설명했다.

6. 사용자에게 권고된 보안 조치와 FAQ의 결론

OpenAI는 이번에 영향을 받을 수 있는 정보가 피싱이나 사회공학 공격에 악용될 수 있다고 경고했다. 특히 이름, 이메일 주소, 사용자 ID 같은 OpenAI API 메타데이터가 포함됐을 수 있으므로, 그럴듯해 보이는 피싱 시도나 스팸에 주의하라고 권고했다. 사용자는 예상치 못한 이메일이나 메시지의 링크와 첨부파일을 조심하고, OpenAI를 사칭하는 메시지가 공식 OpenAI 도메인에서 왔는지 확인해야 한다. OpenAI는 이메일, 문자, 채팅으로 비밀번호나 API 키, 인증 코드를 요청하지 않는다고 강조했으며, 비밀번호 재설정이나 API 키 교체는 이번 사고 때문에 권장하지 않지만 다중 인증은 보안 모범 관행으로 활성화하라고 안내했다.

🧾 핵심 주장 / 시사점

  • 이번 공지는 핵심 데이터가 유출되지 않았다는 점보다, 제3자 분석 도구가 보유한 제한적 메타데이터도 피싱 위험으로 이어질 수 있다는 점을 강조한다.
  • OpenAI는 단순 통지에 그치지 않고 Mixpanel 제거, 사용 종료, 벤더 보안 검토 확대를 명시해 공급망 보안 관리의 책임을 전면에 내세웠다.
  • 사용자 입장에서는 비밀번호나 API 키 회전보다 공식 도메인 확인, 링크·첨부파일 주의, MFA 활성화 같은 사회공학 대응이 더 직접적인 후속 조치로 제시됐다.

✅ 액션 아이템

  • 2025년 11월 26일 공지와 12월 19일 수정본을 기준으로 노출 가능 데이터 범위를 계정명·이메일·브라우저 기반 항목으로 정리한다.
  • OpenAI가 유출이 없다고 밝힌 채팅 내용·API 요청·API 사용 데이터·인증 정보·결제 정보는 영향 제외 항목으로 분리해 기록한다.
  • Mixpanel 제거 및 벤더 보안요건 강화 조치를 반영해 제3자 분석 연동의 보안 점검 항목을 갱신한다.

❓ 열린 질문

  • 실제 노출 위험은 계정명·이메일·브라우저 기반 위치 외에 어떤 데이터 범위까지로 한정된 것인가?
  • 2025년 11월 26일 공지와 12월 19일 수정본에서 일부 API 사용자와 제한된 ChatGPT 사용자 범위가 동일했는가?
  • Mixpanel 철수 뒤에도 다른 분석 벤더에 동일한 보안요건을 적용할 때 어떤 기준이 필요한가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.