무슨 일이 일어났나
3월 9일, 보안 스타트업 CodeWall이 McKinsey의 내부 생성 AI 플랫폼 Lilli를 해킹한 사실을 공개했습니다. 자격 증명 없이, 내부자 접근 없이, 사람의 개입 없이 — AI 에이전트 혼자서 2시간 만에 전체 프로덕션 데이터베이스의 읽기/쓰기 권한을 획득했습니다.
The Register에 따르면, 노출된 데이터는 다음과 같습니다.
| 항목 | 규모 | |------|------| | 채팅 메시지 | 4,650만 건 (전략, M&A, 고객 관련) | | 파일 | 72만 8,000건 (기밀 고객 데이터 포함) | | 사용자 계정 | 57,000개 | | 시스템 프롬프트 | 95개 (전부 쓰기 가능) |
수만 명의 McKinsey 컨설턴트가 사용하는 AI 챗봇의 전체 데이터가 사실상 열린 상태였습니다.
SQL Injection, 그 오래된 기술
2026년에 SQL Injection이라니, 의아할 수 있습니다. 하지만 정확히 그것이 핵심 취약점이었습니다.
CodeWall 블로그에 따르면, AI 에이전트는 먼저 공개된 API 문서를 발견했습니다. 그 안에 인증이 필요 없는 22개의 API 엔드포인트가 있었습니다.
그중 하나는 사용자 검색 쿼리를 기록하는 엔드포인트였는데, JSON 키 값이 SQL 쿼리에 그대로 연결(concatenate)되고 있었습니다. 전형적인 SQL Injection 취약점입니다. 파라미터화(parameterization)라는 기본적인 방어가 적용되지 않은 것입니다.
왜 이 사건이 위험한가
단순한 데이터 유출보다 심각한 부분이 있습니다. 95개의 시스템 프롬프트(AI의 행동을 제어하는 지시문)가 전부 쓰기 가능했다는 점입니다.
공격자가 이 프롬프트를 변경하면, Lilli가 수만 명의 컨설턴트에게 제공하는 답변 자체를 조작할 수 있습니다. 잘못된 전략 제안, 의도적인 오류 삽입, 경쟁사에 유리한 정보 왜곡 — 가능성은 넓습니다.
McKinsey는 다음 날까지 모든 비인증 엔드포인트를 패치하고, 개발 환경을 오프라인으로 전환하고, 공개 API 문서를 차단했습니다.
지금 할 수 있는 대응법
이 사건에서 기업이 점검해야 할 사항입니다.
- API 인증 감사: 인증 없이 접근 가능한 엔드포인트가 있는지 전수 조사합니다
- SQL 파라미터화: 모든 데이터베이스 쿼리에서 사용자 입력이 직접 연결되는 부분이 없는지 확인합니다
- AI 플랫폼 보안 리뷰: 시스템 프롬프트의 접근 권한을 점검합니다. 읽기 전용이어야 할 프롬프트가 쓰기 가능한 상태인지 확인합니다
- API 문서 공개 범위: 내부 API 문서가 외부에서 접근 가능한 상태인지 확인합니다
참고