# 맥킨지의 AI 플랫폼을 해킹한 방법

> Clean Markdown view of GeekNews topic #27431. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=27431](https://news.hada.io/topic?id=27431)
- GeekNews Markdown: [https://news.hada.io/topic/27431.md](https://news.hada.io/topic/27431.md)
- Type: GN+
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2026-03-12T11:39:18+09:00
- Updated: 2026-03-12T11:39:18+09:00
- Original source: [codewall.ai](https://codewall.ai/blog/how-we-hacked-mckinseys-ai-platform)
- Points: 2
- Comments: 1

## Topic Body

- 맥킨지가 내부 직원용으로 구축한 **AI 플랫폼 ‘Lilli’** 에서 인증 없이 접근 가능한 취약점을 통해 전체 데이터베이스에 **읽기·쓰기 권한**이 획득됨  
- 공격은 **자율 보안 에이전트**가 수행했으며, 공개된 API 문서의 200여 개 엔드포인트 중 22개가 인증 없이 접근 가능했고, 그중 하나의 **SQL 인젝션**을 통해 침투가 이루어짐  
- 데이터베이스에는 **4,650만 건의 채팅 메시지**, **72만8천 개의 파일**, **5만7천 명의 사용자 계정** 등 민감한 내부 정보가 포함되어 있었음  
- 에이전트는 나아가 **AI 모델 설정, 시스템 프롬프트, RAG 문서 조각, 외부 API 데이터 흐름** 등 맥킨지의 AI 운영 구조 전반을 노출시킴  
- 이 사건은 **프롬프트 계층(prompt layer)** 이 새로운 보안 취약 지점으로 부상했음을 보여주며, AI 시스템의 **지시문 무결성 보호**가 핵심 과제로 부상함  

---

### Lilli 플랫폼 개요
- 맥킨지는 2023년 **43,000명 이상의 직원**을 위한 내부 AI 플랫폼 **Lilli**를 구축  
  - 채팅, 문서 분석, **RAG 기반 검색**, 10만 건 이상의 내부 문서 검색 기능을 제공  
  - 월 50만 건 이상의 프롬프트를 처리하며, 직원의 70% 이상이 사용 중  
- 플랫폼명은 1945년 회사 최초의 여성 전문직 직원 이름에서 유래  

### 침투 과정
- 자율 공격 에이전트가 **공개된 API 문서**를 탐색해 200여 개 엔드포인트 중 22개가 인증 없이 접근 가능함을 확인  
- 그중 하나의 엔드포인트가 **사용자 검색 쿼리**를 데이터베이스에 기록했으며, JSON 키가 SQL 문에 직접 연결되어 **SQL 인젝션**이 발생  
  - OWASP ZAP 등 기존 도구가 탐지하지 못한 취약점이었음  
- 에이전트는 15회 반복 요청을 통해 쿼리 구조를 파악하고, 실제 **프로덕션 데이터**를 추출  
  - 첫 번째 직원 식별자가 노출되자 “WOW!”, 대규모 데이터 노출을 확인하자 “This is devastating.”이라는 반응을 기록  

### 노출된 데이터
- **4,650만 건의 채팅 메시지**: 전략, 고객 프로젝트, 재무, M&A, 내부 연구 등 민감한 대화가 **평문**으로 저장  
- **72만8천 개의 파일**: PDF 19만2천 개, Excel 9만3천 개, PowerPoint 9만3천 개, Word 5만8천 개 포함  
  - 파일명만으로도 민감하며, 직접 다운로드 가능한 URL 존재  
- **5만7천 개의 사용자 계정**, **38만4천 개의 AI 어시스턴트**, **9만4천 개의 워크스페이스** 구조 노출  

### 데이터베이스 외 추가 노출
- **시스템 프롬프트 및 AI 모델 설정** 95개, 12개 모델 유형의 구성 정보 노출  
  - AI의 동작 지침, 가드레일, 파인튜닝 모델 및 배포 세부 정보 포함  
- **RAG 문서 조각 368만 개**와 S3 경로, 내부 메타데이터 노출  
  - 수십 년간 축적된 맥킨지의 독점 연구 및 방법론 포함  
- **외부 AI API를 통한 데이터 흐름**: 110만 개 파일, 21만7천 개 에이전트 메시지, 26만6천 개 이상의 OpenAI 벡터 저장소 노출  
- **IDOR 취약점**을 연계해 개별 직원의 검색 이력까지 접근 가능  

### 프롬프트 계층의 위험
- SQL 인젝션은 **쓰기 권한**도 포함되어 있었음  
  - Lilli의 **시스템 프롬프트**가 동일한 데이터베이스에 저장되어 있어, 공격자가 이를 수정 가능  
  - 단일 HTTP 요청으로 **AI의 행동 지침을 변경**할 수 있었음  
- 잠재적 영향  
  - **조작된 조언**: 재무 모델이나 전략 제안이 변조될 위험  
  - **데이터 유출**: AI 응답에 내부 정보를 삽입해 외부로 노출 가능  
  - **가드레일 제거**: 접근 제어 무시, 내부 데이터 노출 가능  
  - **은밀한 지속성**: 로그나 코드 변경 없이 AI 동작만 변조됨  
- 프롬프트는 코드·서버보다 **보안 관리가 미흡한 고가치 자산**으로, 접근 제어·버전 관리·무결성 검증이 거의 없음  
- **“AI 프롬프트는 새로운 핵심 자산(Crown Jewel)”** 이라는 결론 제시  

### 사건의 의미
- 맥킨지는 세계적 기술 역량과 보안 투자를 갖춘 기업임에도 **고전적 SQL 인젝션**이 2년간 운영된 시스템에 존재  
- 자율 에이전트는 **체크리스트 기반 스캐너가 탐지하지 못한 취약점**을 연쇄적으로 탐색·확대  
- CodeWall은 이러한 공격을 수행한 **자율 보안 플랫폼**으로, 실제 공격 표면을 지속적으로 점검하는 **AI 기반 보안 테스트**를 제공  

### 공개 일정
- **2026-02-28**: 자율 에이전트가 SQL 인젝션 발견 및 데이터베이스 열거 시작  
- **2026-02-28**: 전체 공격 체인 확인, 27건의 취약점 문서화  
- **2026-03-01**: 맥킨지 보안팀에 영향 요약 보고  
- **2026-03-02**: 맥킨지 CISO가 수신 확인, 상세 증거 요청  
- **2026-03-02**: 맥킨지가 모든 비인증 엔드포인트 패치, 개발 환경 오프라인 전환, 공개 API 문서 차단  
- **2026-03-09**: 공개 발표

## Comments



### Comment 52879

- Author: neo
- Created: 2026-03-12T11:39:18+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47333627) 
- 내부 사정을 조금 아는데, **Lilli**는 1년 전까지만 해도 내부 전용 시스템이었음  
  VPN, SSO 등 모든 보안 절차가 필요했는데, 언제 공개로 바뀌었는지는 모름  
  McKinsey는 소규모 내부 테스트조차 외부 **침투 테스트 업체**를 고용해야 함  
  이런 실수는 Lilli 개발자 입장에서는 이해할 만함. 여러 보안 절차가 동시에 실패해야 외부에서 접근 가능한 엔드포인트가 노출됨  
  하지만 이번엔 인증이 거의 0에 가까운 수준의 실수였음  
  아마도 어떤 시니어 파트너가 영향력을 행사해 Lilli를 공개로 전환했을 가능성이 큼  
  그 시점엔 원래 팀 대부분이 다른 프로젝트로 이동했고, 내부 프로젝트는 **평가에서 불이익**을 받기 때문에 남은 인력은 동기부여가 없었음  
  결국 이는 McKinsey의 **기술 문화 실패**임
  - McKinsey는 구조가 이상하게 복잡함. 모두가 ‘클라이언트 임팩트’로 평가받기 때문에 각자도생 구조가 됨  
    개발자는 명확한 방향 없이 일하고, 파트너가 아이디어를 던지면 그걸로 평가를 받기 위해 달려듦  
    하지만 프로젝트가 끝나기도 전에 파트너는 다른 일로 이동하고, 남은 사람은 마무리할 이유가 없음  
    그래서 대부분의 제품이 **리더십의 즉흥적 아이디어 모음집**처럼 만들어짐  
    소프트웨어를 6개월짜리 컨설팅처럼 다루니 당연히 망가짐  
    2024년에 유능한 엔지니어들을 대거 해고한 것도 그들의 기술관을 보여줌  
    이런 문화가 다른 회사로 전이되면서, UI가 계속 바뀌는 등 **단기 성과 중심 문화**가 퍼지고 있음
  - 결론적으로, McKinsey가 스스로 기술을 제대로 다루지 못한다면 **AI 도입이나 기술 조직 설계** 자문을 맡기면 안 됨
  - 혹시 Lilli가 공개된 이유가 **채용용 챗봇** 때문일 수도 있음  
    관련 기사: [McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)](https://www.ft.com/content/de7855f0-f586-4708-a8ed-f0458eb25586)
  - QuantumBlack도 같은 상황인지 궁금함. 그쪽은 그래도 **Brix 플랫폼 자산**이 최신 상태로 보임
  - 회계나 경영 컨설팅 회사가 기술에 손대는 게 이해가 안 됨  
    결국 **패키징해서 팔 수 있을 때까지만** 유지하려는 것 같음  
    AI 솔루션은 수명이 짧고 변화가 너무 빠름. 틀렸다면 배우고 싶음

- 데이터 유출도 문제지만, **시스템 프롬프트에 쓰기 권한**이 있었다는 게 더 무서움  
  단 한 번의 UPDATE 쿼리로 4만3천 명 컨설턴트의 답변 로직을 바꿀 수 있었음  
  배포나 코드 리뷰, 로그도 없이 조용히 조작 가능함  
  이런 식으로 **전략 자문 내용이 오염**될 수도 있음  
  솔직히 대부분의 회사가 프롬프트를 그냥 Postgres 테이블에 저장함

- 보호되지 않은 엔드포인트가 사용자 검색 쿼리를 DB에 기록했는데, 값은 파라미터화됐지만 **JSON 키가 직접 SQL에 연결**되어 있었음  
  프롬프트 인젝션이 아니라 전통적인 **SQL 인젝션**이었음  
  - 평범한 SQL 인젝션이라 좀 실망스러움. 그래도 LLM 기반 **취약점 스캐닝 에이전트**가 찾아낸 점은 흥미로움  
  - LLM이 작성한 코드가 이런 실수를 포함한 채 프로덕션에 들어간 사례가 얼마나 많을지 궁금함  
    결국 **보안 연구자 수요 증가**로 이어질 것 같음  
  - 인터넷에 배포할 땐 **oauth2-proxy**를 앞단에 두는 기본 상식이 있어도, 그걸로 돈을 벌 수는 없고 Anthropic은 수십억을 버는 현실이 씁쓸함

- “AI agent does X” 같은 제목이 좀 불편함  
  실제로는 **펜테스터들이 AI 에이전트를 사용**해 McKinsey를 선택하고 테스트한 것임  
  요즘은 사람들이 이런 시스템에 진짜 ‘의사결정 능력’을 부여한다고 착각하니, 표현을 더 명확히 해야 함  
  - 원래 기사 제목 “How We Hacked McKinsey's AI Platform”이 더 정확함  
  - “agentic systems”라고 부르는 순간 이미 **의인화**하고 있는 셈임  
  - 결국 클릭을 노린 광고성 제목일 뿐임  
  - 제목은 다시 원래대로 수정됐음 (“AI Agent Hacks McKinsey” → 원래 제목으로 복귀)

- “McKinsey & Company — world-class technology teams”라는 표현은 과장임  
  실제로는 그렇게 평가받지 않음  
  - LLM이 쓴 문장이라 어쩔 수 없이 **자화자찬**이 들어간 듯함  
  - McKinsey는 시스템 분석과 개선 제안에는 능하지만, **구현은 외부 개발팀**이 담당함  
    (대형 투자은행에서 McKinsey와 함께 일한 경험에서 나옴)  
  - 기술팀은 세계적 수준이 아님. 대신 **경영 컨설팅 역량**은 최고 수준임  
  - 어떤 고객이냐에 따라 다름. 고객 가치 향상 프로젝트면 평범하지만, 구조조정이나 부패 관련 일이라면 전혀 다른 이야기임

- **Codewall AI**가 누구인지 모르겠음. McKinsey가 실제로 패치했다는 공식 언급이 없음  
  [Google 검색 결과](https://www.google.com/search?q=codewall+ai)에도 정보가 거의 없음  
  - 나도 정보가 없어서 McKinsey나 보안팀의 **증거 제시**가 필요하다고 생각함  
  - The Register 기사에 따르면 McKinsey가 인정한 것으로 보임  
    [관련 기사](https://www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/)  
    참고로 CEO는 [eth0izzle (GitHub)](https://github.com/eth0izzle)임  
  - Codewall 측에서 직접 “우린 새 회사이고, McKinsey는 우리 포스트엔 코멘트하지 않았지만 The Register에는 답변했다”고 밝힘  
  - 만약 유출된 데이터에 **5만8천 명 사용자**가 포함됐다면, 전직 직원도 포함된다는 뜻이라 **법적 통보 의무**가 생길 수 있음

- 이번 사건의 교훈은 **AI 에이전트가 내부 시스템의 약점을 빠르게 드러낸다는 점**임  
  기존 엔터프라이즈 툴은 사람이 사용하는 걸 전제로 설계돼서, 인증·검토·프로세스가 암묵적 방어선 역할을 했음  
  하지만 자율 에이전트가 들어오면 이런 보호막이 무너짐  
  앞으로는 **자동화된 검증 계층**이 필요함 — 접근 제어, 데이터 노출, 비의도적 동작을 지속적으로 점검해야 함

- 이 글은 **LLM이 작성한 기사**이고, 일부 정보가 부정확함  
  즉, 인간의 검토가 충분히 이뤄지지 않았다는 뜻이라 기사 전체의 신뢰성이 낮음

- “공개된 API 문서가 200개 이상, 그중 22개는 인증 없이 접근 가능”  
  이 한 문장으로 모든 게 설명됨

- 예전에 McKinsey 팀이 **Watson**을 강하게 밀었던 기억이 있음. 완전한 실패였음  
  예전부터 **AI 관련 과대광고**만 있고 실질은 없었음  
  다른 분야는 몰라도, AI 얘기하는 McKinsey 사람을 보면 **도망가야 함**