????? ??? AI ??? ????(McHire)? ?? ????? ?? ?? ??? ??? ??? API? ?? ???? ??? ??? ??? ? ????, ?? ??? ?? ?? ???? ????. Credit: 맥도날드가 자체적으로 개발한 AI 기반 채용 플랫폼 ‘맥하이어(McHire)’에서 최대 6,400만 명에 달하는 구직자의 민감한 정보가 노출되는 보안 허점이 발견됐다. 이 문제는 2025년 6월 말, 보안 연구원 이안 캐롤과 샘 커리에 의해 발견됐다. 원인은 기본 관리자 로그인 계정과 내부 API의 ‘직접 객체 참조 취약점(Insecure Direct Object Reference, IDOR)’으로, 이를 통해 맥하이어의 자동화 채용 챗봇 ‘올리비아(Olivia)’와 지원자 간의 대화 내역에 접근할 수 있었다. 블랙덕에서 전문 서비스 컨설팅을 맡고 있는 는 “맥도날드의 이번 침해 사례는 고도화된 AI 시스템조차도 기본적인 보안 부주의로 인해 침해될 수 있음을 보여준다”라며 “신기술 도입에 몰두한 나머지 보안 원칙이 희생되어서는 안 된다. 특히 규제가 강화되고 있는 AI 중심 환경에서는 소프트웨어에 대한 신뢰를 지키기 위해 기본적인 보안 조치를 최우선으로 삼아야 한다”라고 밝혔했다. 이 결함은 이 올리비아의 “비논리적인 응답”에 대해 불만을 제기한 후 이뤄진 보안 점검 과정에서 발견됐으며, 맥도날드와 올리비아 개발 지원 기업 패러독스닷에이아이(Paradox.ai)는 해당 사실이 공개되자 즉시 문제를 해결했다. 기본 로그인 계정과 IDOR 취약점으로 대규모 정보 유출 발생 캐롤은 “맥하이어의 레스토랑 가맹점 관리자용 인터페이스는 기본 사용자명 ‘123456’과 비밀번호 ‘123456’을 그대로 수용하고 있었으며, 이 자격 증명만으로도 단순 테스트 환경이 아닌 실제 운영 대시보드에 즉시 접근할 수 있었다”라고 밝혔다. 그는 “앱은 맥도날드 내부 사용자를 위한 싱글 사인온(SSO)을 강제하려고 했지만, ‘패러독스 팀원 전용’이라는 작은 링크가 눈에 띄었고, 별다른 고민 없이 비밀번호에 ‘123456’을 입력하자 곧바로 로그인됐다”라고 설명했다. 로그인 이후, 연구자들은 내부 API 엔드포인트가 예측 가능한 매개변수를 통해 지원자 데이터를 조회하고 있다는 사실도 발견했다. 단순히 ID 값을 하나씩 줄이는 방식만으로, 캐롤과 커리는 지원자의 전체 개인정보(PII)를 포함해 채팅 기록, 연락처, 지원서 정보 등을 얻을 수 있었다. 이 IDOR 취약점으로 인해 연락처뿐 아니라 시간 기록, 근무 선호 시간대, 성격 검사 결과, 심지어 지원자를 사칭할 수 있는 인증 토큰까지 노출된 것이다. 사이버보안 스타트업 디자이어드이펙트(Desired Effect)의 CEO 는 “이번 사건은 조직이 기술의 작동 방식이나 신뢰할 수 없는 사용자가 시스템을 어떻게 악용할 수 있는지를 충분히 이해하지 못한 채 기술을 도입했을 때 어떤 일이 벌어지는지를 보여주는 대표적인 사례”라며 “AI 시스템이 수백만 건의 민감 데이터를 다루는 만큼, 조직은 사전 위협을 이해하고 대응하는 데 투자하지 않으면 결국 고객의 신뢰를 잃고 뒤늦게 대응하게 될 수 있다”라고 지적했다. 신속한 패치로 피해 확산 막아 2025년 6월 30일 취약점이 공개된 직후, 패러독스닷에이아이(Paradox.ai)와 맥도날드는 한 시간 내에 해당 문제를 . 7월 1일까지 기본 계정은 비활성화됐고, API 엔드포인트 역시 보완 조치가 이뤄졌다. 캐롤은 블로그를 통해 패러독스가 추가적인 보안 점검을 약속했다고 밝혔다. API 보안 솔루션 업체 씨퀀스시큐리티(Cequence Security)의 최고정보보안책임자(CISO) 는 “현재까지 유출된 데이터가 악용된 정황은 없지만, 이번 사고처럼 대규모이고 민감한 정보는 타깃형 피싱, 스미싱/비싱, 사회공학 기반 공격에 활용될 수 있다”라며 “AI 도구와 결합될 경우, 공격자는 매우 정교하고 설득력 있는 위협을 만들어낼 수 있다”라고 설명했다. 맥도날드는 CSO의 논평 요청에 즉각 응하지 않았다. 이후 패러독스는 자사 웹사이트에 공식 입장을 게재하며, 보안 연구자들이 한 패러독스 고객사의 테스트 계정에 설정된 이전 비밀번호를 통해 로그인했음을 설명했다. 패러독스 측은 “기록을 기반으로 해당 테스트 계정은 보안 연구자 외 제3자가 접근한 적이 없다고 확신한다”며 “이번 사건으로 인해 지원자 정보가 온라인에 유출되거나 공개된 적은 전혀 없고, 열람된 정보는 단 5명의 것에 불과했으며, 연구자들만 이를 확인했다. 이 사건은 단 한 개 고객사에만 영향을 미쳤으며, 다른 패러독스 고객사에는 영향을 끼치지 않았다”고 강조했다. 채용 환경에서 이 같은 사이버 보안 사고는 점점 더 빈번해지고 있다. 빠른 채용, 자동화, 대규모 운영에 집중하면서 보안이 뒷전으로 밀리는 경우가 많기 때문이다. 이번 주 초에도 온라인 채용 추적 플랫폼인 탈렌트훅(TalentHook)이 (Azure Blob) 스토리지로 인해 약 을 외부에 . 데이터 가버넌스 플랫폼 업체 마인OS(MineOS)의 공동설립자 겸 CEO 은 “개인정보를 수집하거나 처리하는 모든 AI 시스템은 핵심 업무 시스템과 동일한 수준의 프라이버시, 보안, 접근 통제를 받아야 한다”라며 “이는 인증, 감사 가능성, 전체 리스크 대응 체계에 통합되는 방식이어야 하며, 별도로 떨어져 관리돼선 안 된다”라고 조언했다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????