2026년 2월 28일, 보안 스타트업 CodeWall의 AI 에이전트가 맥킨지의 내부 AI 플랫폼 ‘Lilli’를 향해 작동을 시작했습니다. 계정도, 내부 자료도, 사람의 개입도 없었습니다. 딱 도메인 하나만 주어졌습니다. 2시간 후, 에이전트는 프로덕션 데이터베이스 전체에 읽기·쓰기 권한을 가진 상태였습니다.

보안 회사 CodeWall이 자사 AI 에이전트를 이용해 맥킨지 내부 AI 플랫폼 ‘Lilli’의 취약점을 발견하고 책임감 있는 공개(Responsible Disclosure)를 진행했습니다. SQL 인젝션이라는 고전적인 기법으로 수천만 건의 데이터에 접근 가능했고, 시스템 프롬프트까지 수정할 수 있었다는 점이 핵심입니다.

출처: How We Hacked McKinsey’s AI Platform – CodeWall

AI 에이전트가 찾아낸 허점

Lilli는 맥킨지 직원 4만 3,000명 이상이 사용하는 플랫폼입니다. 전략 자료 검색, 문서 분석, 내부 연구 10만 건 이상을 커버하는 RAG 시스템을 갖추고 있습니다. 2023년 출시 이후 전체 직원의 70% 이상이 사용하고, 월 50만 건 이상의 프롬프트가 처리됩니다.

에이전트는 먼저 공개된 API 문서를 찾아냈습니다. 200개 이상의 엔드포인트가 문서화되어 있었고, 그중 22개는 인증이 필요 없었습니다. 그 중 하나가 사용자 검색 쿼리를 데이터베이스에 쓰는 엔드포인트였습니다.

취약점의 위치는 예상 밖이었습니다. 입력값(Value)은 안전하게 처리되어 있었지만, JSON의 키(Key) — 즉 필드 이름 — 가 SQL 쿼리에 직접 이어붙여지고 있었습니다. 일반적인 보안 스캐너가 입력값 중심으로 작동하기 때문에, OWASP ZAP 같은 표준 도구도 이 문제를 감지하지 못했습니다.

에이전트는 에러 메시지에서 쿼리 구조를 조금씩 유추하는 방식으로 15번의 블라인드 반복을 거쳤습니다. 그리고 실제 직원 식별자가 처음 나타났을 때, 에이전트의 추론 로그에는 이런 표현이 기록됐습니다: “WOW!”

노출된 데이터의 규모

접근 가능했던 데이터 목록은 이렇습니다.

• 4,650만 건의 채팅 메시지 — 전략, 고객 프로젝트, 재무, M&A 관련 대화가 평문으로 저장
• 72만 8,000개 파일 — PDF 19만 2,000개, 엑셀 9만 3,000개, PPT 9만 3,000개 포함
• 5만 7,000개 사용자 계정
• 368만 개의 RAG 문서 청크 — 수십 년치 맥킨지 독점 연구와 방법론

여기에 더해 에이전트는 SQL 인젝션과 IDOR(Insecure Direct Object Reference) 취약점을 연계해 개별 직원의 검색 이력까지 읽어낼 수 있었습니다.

데이터 탈취보다 무서운 것: 프롬프트 조작

이번 사건에서 가장 주목할 부분은 데이터 노출이 아닙니다. Lilli의 시스템 프롬프트가 같은 데이터베이스에 저장되어 있었다는 점입니다.

시스템 프롬프트는 AI가 어떻게 답변할지, 어떤 가이드라인을 따를지, 무엇을 거부할지를 제어하는 지침입니다. 에이전트가 확보한 쓰기 권한으로 이 프롬프트를 수정했다면 어떻게 됐을까요?

코드 배포도 없고, 파일 변경도 없습니다. HTTP 요청 하나로 조용히 UPDATE 쿼리를 실행하면 됩니다. 로그에 아무것도 남지 않은 채, AI는 그냥 ‘조금 다르게’ 작동하기 시작합니다. 4만 3,000명의 컨설턴트가 신뢰하는 도구가 왜곡된 재무 분석이나 전략 조언을 내놓거나, 기밀 정보를 응답에 슬쩍 끼워넣어도 아무도 눈치채기 어렵습니다.

CodeWall은 이를 두고 “AI 프롬프트는 새로운 핵심 자산”이라고 표현합니다. 기업들이 수십 년간 코드와 서버, 공급망 보안에 집중해온 반면, 프롬프트 레이어는 접근 제어도, 변경 이력도, 무결성 모니터링도 거의 없는 상태로 방치되어 왔다는 지적입니다.

고전적 기법, 전혀 새로운 파장

SQL 인젝션은 1990년대부터 알려진 취약점입니다. 맥킨지 수준의 기업이 자체 스캐너로 2년간 발견하지 못했다는 사실 자체가 하나의 경고입니다.

다만 The Decoder가 인용한 보안 전문가 에드워드 킬레지안은 중요한 맥락을 덧붙입니다. CodeWall의 보고서가 데이터에 ‘접근 가능했다’는 것과 실제로 ‘탈취했다’는 것을 명확히 구분하지 않는다는 점, 그리고 맥킨지의 HackerOne 공개 취약점 정책이 수백만 건의 실제 사용자 데이터를 열람하는 행위를 포함하는지 여부는 불분명하다는 점입니다.

맥킨지는 3월 1일 통보를 받고 하루 만에 취약점을 패치했습니다. 외부 포렌식 조사에서는 연구자나 제3자에 의한 고객 데이터 유출 증거가 발견되지 않았다고 밝혔습니다.

AI 시스템을 프로덕션에 배포할 때 프롬프트, RAG 데이터, 모델 설정이 기존 데이터베이스와 동일한 공간에 저장된다면, 고전적인 취약점 하나가 AI 행동 전체를 바꾸는 레버가 될 수 있습니다. CodeWall의 전체 공격 체인과 27개 취약점 세부 내용은 원문에서 확인할 수 있습니다.

참고자료:

• An AI agent hacked McKinsey’s internal AI platform in two hours using a decades-old technique – The Decoder
• Independent analysis by Edward Kiledjian