맥킨지의 AI 플랫폼을 해킹한 방법

 (codewall.ai)
1P by GN⁺ 4시간전 | ★ favorite | 댓글 1개
  • 맥킨지가 내부 직원용으로 구축한 AI 플랫폼 ‘Lilli’ 에서 인증 없이 접근 가능한 취약점을 통해 전체 데이터베이스에 읽기·쓰기 권한이 획득됨
  • 공격은 자율 보안 에이전트가 수행했으며, 공개된 API 문서의 200여 개 엔드포인트 중 22개가 인증 없이 접근 가능했고, 그중 하나의 SQL 인젝션을 통해 침투가 이루어짐
  • 데이터베이스에는 4,650만 건의 채팅 메시지, 72만8천 개의 파일, 5만7천 명의 사용자 계정 등 민감한 내부 정보가 포함되어 있었음
  • 에이전트는 나아가 AI 모델 설정, 시스템 프롬프트, RAG 문서 조각, 외부 API 데이터 흐름 등 맥킨지의 AI 운영 구조 전반을 노출시킴
  • 이 사건은 프롬프트 계층(prompt layer) 이 새로운 보안 취약 지점으로 부상했음을 보여주며, AI 시스템의 지시문 무결성 보호가 핵심 과제로 부상함

Lilli 플랫폼 개요

  • 맥킨지는 2023년 43,000명 이상의 직원을 위한 내부 AI 플랫폼 Lilli를 구축
    • 채팅, 문서 분석, RAG 기반 검색, 10만 건 이상의 내부 문서 검색 기능을 제공
    • 월 50만 건 이상의 프롬프트를 처리하며, 직원의 70% 이상이 사용 중
  • 플랫폼명은 1945년 회사 최초의 여성 전문직 직원 이름에서 유래

침투 과정

  • 자율 공격 에이전트가 공개된 API 문서를 탐색해 200여 개 엔드포인트 중 22개가 인증 없이 접근 가능함을 확인
  • 그중 하나의 엔드포인트가 사용자 검색 쿼리를 데이터베이스에 기록했으며, JSON 키가 SQL 문에 직접 연결되어 SQL 인젝션이 발생
    • OWASP ZAP 등 기존 도구가 탐지하지 못한 취약점이었음
  • 에이전트는 15회 반복 요청을 통해 쿼리 구조를 파악하고, 실제 프로덕션 데이터를 추출
    • 첫 번째 직원 식별자가 노출되자 “WOW!”, 대규모 데이터 노출을 확인하자 “This is devastating.”이라는 반응을 기록

노출된 데이터

  • 4,650만 건의 채팅 메시지: 전략, 고객 프로젝트, 재무, M&A, 내부 연구 등 민감한 대화가 평문으로 저장
  • 72만8천 개의 파일: PDF 19만2천 개, Excel 9만3천 개, PowerPoint 9만3천 개, Word 5만8천 개 포함
    • 파일명만으로도 민감하며, 직접 다운로드 가능한 URL 존재
  • 5만7천 개의 사용자 계정, 38만4천 개의 AI 어시스턴트, 9만4천 개의 워크스페이스 구조 노출

데이터베이스 외 추가 노출

  • 시스템 프롬프트 및 AI 모델 설정 95개, 12개 모델 유형의 구성 정보 노출
    • AI의 동작 지침, 가드레일, 파인튜닝 모델 및 배포 세부 정보 포함
  • RAG 문서 조각 368만 개와 S3 경로, 내부 메타데이터 노출
    • 수십 년간 축적된 맥킨지의 독점 연구 및 방법론 포함
  • 외부 AI API를 통한 데이터 흐름: 110만 개 파일, 21만7천 개 에이전트 메시지, 26만6천 개 이상의 OpenAI 벡터 저장소 노출
  • IDOR 취약점을 연계해 개별 직원의 검색 이력까지 접근 가능

프롬프트 계층의 위험

  • SQL 인젝션은 쓰기 권한도 포함되어 있었음
    • Lilli의 시스템 프롬프트가 동일한 데이터베이스에 저장되어 있어, 공격자가 이를 수정 가능
    • 단일 HTTP 요청으로 AI의 행동 지침을 변경할 수 있었음
  • 잠재적 영향
    • 조작된 조언: 재무 모델이나 전략 제안이 변조될 위험
    • 데이터 유출: AI 응답에 내부 정보를 삽입해 외부로 노출 가능
    • 가드레일 제거: 접근 제어 무시, 내부 데이터 노출 가능
    • 은밀한 지속성: 로그나 코드 변경 없이 AI 동작만 변조됨
  • 프롬프트는 코드·서버보다 보안 관리가 미흡한 고가치 자산으로, 접근 제어·버전 관리·무결성 검증이 거의 없음
  • “AI 프롬프트는 새로운 핵심 자산(Crown Jewel)” 이라는 결론 제시

사건의 의미

  • 맥킨지는 세계적 기술 역량과 보안 투자를 갖춘 기업임에도 고전적 SQL 인젝션이 2년간 운영된 시스템에 존재
  • 자율 에이전트는 체크리스트 기반 스캐너가 탐지하지 못한 취약점을 연쇄적으로 탐색·확대
  • CodeWall은 이러한 공격을 수행한 자율 보안 플랫폼으로, 실제 공격 표면을 지속적으로 점검하는 AI 기반 보안 테스트를 제공

공개 일정

  • 2026-02-28: 자율 에이전트가 SQL 인젝션 발견 및 데이터베이스 열거 시작
  • 2026-02-28: 전체 공격 체인 확인, 27건의 취약점 문서화
  • 2026-03-01: 맥킨지 보안팀에 영향 요약 보고
  • 2026-03-02: 맥킨지 CISO가 수신 확인, 상세 증거 요청
  • 2026-03-02: 맥킨지가 모든 비인증 엔드포인트 패치, 개발 환경 오프라인 전환, 공개 API 문서 차단
  • 2026-03-09: 공개 발표
GN⁺ 4시간전  [-]
Hacker News 의견들

  • 내부 사정을 조금 아는데, Lilli는 1년 전까지만 해도 내부 전용 시스템이었음
    VPN, SSO 등 모든 보안 절차가 필요했는데, 언제 공개로 바뀌었는지는 모름
    McKinsey는 소규모 내부 테스트조차 외부 침투 테스트 업체를 고용해야 함
    이런 실수는 Lilli 개발자 입장에서는 이해할 만함. 여러 보안 절차가 동시에 실패해야 외부에서 접근 가능한 엔드포인트가 노출됨
    하지만 이번엔 인증이 거의 0에 가까운 수준의 실수였음
    아마도 어떤 시니어 파트너가 영향력을 행사해 Lilli를 공개로 전환했을 가능성이 큼
    그 시점엔 원래 팀 대부분이 다른 프로젝트로 이동했고, 내부 프로젝트는 평가에서 불이익을 받기 때문에 남은 인력은 동기부여가 없었음
    결국 이는 McKinsey의 기술 문화 실패

    • McKinsey는 구조가 이상하게 복잡함. 모두가 ‘클라이언트 임팩트’로 평가받기 때문에 각자도생 구조가 됨
      개발자는 명확한 방향 없이 일하고, 파트너가 아이디어를 던지면 그걸로 평가를 받기 위해 달려듦
      하지만 프로젝트가 끝나기도 전에 파트너는 다른 일로 이동하고, 남은 사람은 마무리할 이유가 없음
      그래서 대부분의 제품이 리더십의 즉흥적 아이디어 모음집처럼 만들어짐
      소프트웨어를 6개월짜리 컨설팅처럼 다루니 당연히 망가짐
      2024년에 유능한 엔지니어들을 대거 해고한 것도 그들의 기술관을 보여줌
      이런 문화가 다른 회사로 전이되면서, UI가 계속 바뀌는 등 단기 성과 중심 문화가 퍼지고 있음
    • 결론적으로, McKinsey가 스스로 기술을 제대로 다루지 못한다면 AI 도입이나 기술 조직 설계 자문을 맡기면 안 됨
    • 혹시 Lilli가 공개된 이유가 채용용 챗봇 때문일 수도 있음
      관련 기사: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • QuantumBlack도 같은 상황인지 궁금함. 그쪽은 그래도 Brix 플랫폼 자산이 최신 상태로 보임
    • 회계나 경영 컨설팅 회사가 기술에 손대는 게 이해가 안 됨
      결국 패키징해서 팔 수 있을 때까지만 유지하려는 것 같음
      AI 솔루션은 수명이 짧고 변화가 너무 빠름. 틀렸다면 배우고 싶음

  • 데이터 유출도 문제지만, 시스템 프롬프트에 쓰기 권한이 있었다는 게 더 무서움
    단 한 번의 UPDATE 쿼리로 4만3천 명 컨설턴트의 답변 로직을 바꿀 수 있었음
    배포나 코드 리뷰, 로그도 없이 조용히 조작 가능함
    이런 식으로 전략 자문 내용이 오염될 수도 있음
    솔직히 대부분의 회사가 프롬프트를 그냥 Postgres 테이블에 저장함

  • 보호되지 않은 엔드포인트가 사용자 검색 쿼리를 DB에 기록했는데, 값은 파라미터화됐지만 JSON 키가 직접 SQL에 연결되어 있었음
    프롬프트 인젝션이 아니라 전통적인 SQL 인젝션이었음

    • 평범한 SQL 인젝션이라 좀 실망스러움. 그래도 LLM 기반 취약점 스캐닝 에이전트가 찾아낸 점은 흥미로움
    • LLM이 작성한 코드가 이런 실수를 포함한 채 프로덕션에 들어간 사례가 얼마나 많을지 궁금함
      결국 보안 연구자 수요 증가로 이어질 것 같음
    • 인터넷에 배포할 땐 oauth2-proxy를 앞단에 두는 기본 상식이 있어도, 그걸로 돈을 벌 수는 없고 Anthropic은 수십억을 버는 현실이 씁쓸함

  • “AI agent does X” 같은 제목이 좀 불편함
    실제로는 펜테스터들이 AI 에이전트를 사용해 McKinsey를 선택하고 테스트한 것임
    요즘은 사람들이 이런 시스템에 진짜 ‘의사결정 능력’을 부여한다고 착각하니, 표현을 더 명확히 해야 함

    • 원래 기사 제목 “How We Hacked McKinsey's AI Platform”이 더 정확함
    • “agentic systems”라고 부르는 순간 이미 의인화하고 있는 셈임
    • 결국 클릭을 노린 광고성 제목일 뿐임
    • 제목은 다시 원래대로 수정됐음 (“AI Agent Hacks McKinsey” → 원래 제목으로 복귀)

  • “McKinsey & Company — world-class technology teams”라는 표현은 과장임
    실제로는 그렇게 평가받지 않음

    • LLM이 쓴 문장이라 어쩔 수 없이 자화자찬이 들어간 듯함
    • McKinsey는 시스템 분석과 개선 제안에는 능하지만, 구현은 외부 개발팀이 담당함
      (대형 투자은행에서 McKinsey와 함께 일한 경험에서 나옴)
    • 기술팀은 세계적 수준이 아님. 대신 경영 컨설팅 역량은 최고 수준임
    • 어떤 고객이냐에 따라 다름. 고객 가치 향상 프로젝트면 평범하지만, 구조조정이나 부패 관련 일이라면 전혀 다른 이야기임

  • Codewall AI가 누구인지 모르겠음. McKinsey가 실제로 패치했다는 공식 언급이 없음
    Google 검색 결과에도 정보가 거의 없음

    • 나도 정보가 없어서 McKinsey나 보안팀의 증거 제시가 필요하다고 생각함
    • The Register 기사에 따르면 McKinsey가 인정한 것으로 보임
      관련 기사
      참고로 CEO는 eth0izzle (GitHub)
    • Codewall 측에서 직접 “우린 새 회사이고, McKinsey는 우리 포스트엔 코멘트하지 않았지만 The Register에는 답변했다”고 밝힘
    • 만약 유출된 데이터에 5만8천 명 사용자가 포함됐다면, 전직 직원도 포함된다는 뜻이라 법적 통보 의무가 생길 수 있음

  • 이번 사건의 교훈은 AI 에이전트가 내부 시스템의 약점을 빠르게 드러낸다는 점
    기존 엔터프라이즈 툴은 사람이 사용하는 걸 전제로 설계돼서, 인증·검토·프로세스가 암묵적 방어선 역할을 했음
    하지만 자율 에이전트가 들어오면 이런 보호막이 무너짐
    앞으로는 자동화된 검증 계층이 필요함 — 접근 제어, 데이터 노출, 비의도적 동작을 지속적으로 점검해야 함

  • 이 글은 LLM이 작성한 기사이고, 일부 정보가 부정확함
    즉, 인간의 검토가 충분히 이뤄지지 않았다는 뜻이라 기사 전체의 신뢰성이 낮음

  • “공개된 API 문서가 200개 이상, 그중 22개는 인증 없이 접근 가능”
    이 한 문장으로 모든 게 설명됨

  • 예전에 McKinsey 팀이 Watson을 강하게 밀었던 기억이 있음. 완전한 실패였음
    예전부터 AI 관련 과대광고만 있고 실질은 없었음
    다른 분야는 몰라도, AI 얘기하는 McKinsey 사람을 보면 도망가야 함

답변달기