무슨 일이 일어났나
3월 9일, 보안 스타트업 CodeWall이 McKinsey의 내부 생성 AI 플랫폼 Lilli를 해킹한 사실을 공개했습니다. 자격 증명 없이, 내부자 접근 없이, 사람의 개입 없이. AI 에이전트 혼자서 2시간 만에 전체 프로덕션 데이터베이스의 읽기/쓰기 권한을 획득했습니다.
The Register에 따르면, 노출된 데이터는 다음과 같습니다.
| 항목 | 규모 |
|---|---|
| 채팅 메시지 | 4,650만 건 (전략, M&A, 고객 관련) |
| 파일 | 72만 8,000건 (기밀 고객 데이터 포함) |
| 사용자 계정 | 57,000개 |
| 시스템 프롬프트 | 95개 (전부 쓰기 가능) |
수만 명의 McKinsey 컨설턴트가 사용하는 AI 챗봇의 전체 데이터가 사실상 열린 상태였습니다.
SQL Injection, 그 오래된 기술
2026년에 SQL Injection이라니, 의아할 수 있습니다. 하지만 정확히 그것이 핵심 취약점이었습니다.
CodeWall 블로그에 따르면, AI 에이전트는 먼저 공개된 API 문서를 발견했습니다. 그 안에 인증이 필요 없는 22개의 API 엔드포인트가 있었습니다.
그중 하나는 사용자 검색 쿼리를 기록하는 엔드포인트였는데, JSON 키 값이 SQL 쿼리에 그대로 연결(concatenate)되고 있었습니다. 전형적인 SQL Injection 취약점입니다. 파라미터화(parameterization)라는 기본적인 방어가 적용되지 않은 것입니다.
왜 이 사건이 위험한가
단순한 데이터 유출보다 심각한 부분이 있습니다. 95개의 시스템 프롬프트(AI의 행동을 제어하는 지시문)가 전부 쓰기 가능했다는 점입니다.
공격자가 이 프롬프트를 변경하면, Lilli가 수만 명의 컨설턴트에게 제공하는 답변 자체를 조작할 수 있습니다. 잘못된 전략 제안, 의도적인 오류 삽입, 경쟁사에 유리한 정보 왜곡. 가능성은 넓습니다.
McKinsey는 다음 날까지 모든 비인증 엔드포인트를 패치하고, 개발 환경을 오프라인으로 전환하고, 공개 API 문서를 차단했습니다.
지금 할 수 있는 대응법
이 사건에서 기업이 점검해야 할 사항입니다.
- API 인증 감사: 인증 없이 접근 가능한 엔드포인트가 있는지 전수 조사합니다
- SQL 파라미터화: 모든 데이터베이스 쿼리에서 사용자 입력이 직접 연결되는 부분이 없는지 확인합니다
- AI 플랫폼 보안 리뷰: 시스템 프롬프트의 접근 권한을 점검합니다. 읽기 전용이어야 할 프롬프트가 쓰기 가능한 상태인지 확인합니다
- API 문서 공개 범위: 내부 API 문서가 외부에서 접근 가능한 상태인지 확인합니다
참고