자율 AI 에이전트가 SQL 인젝션으로 McKinsey Lilli 챗봇 해킹

공격 세부 사항 및 영향

CodeWall의 AI 에이전트는 월간 50만 건 이상의 프롬프트를 처리하며 McKinsey 직원의 72%(약 4만 명)가 사용하는 생성형 AI 플랫폼 Lilli를 표적으로 삼았습니다. 이 에이전트는 대상 연구부터 공격 실행 및 보고까지 전 과정을 완전히 자율적으로 수행했으며, 이 과정에서 자격 증명이나 인간의 입력이 전혀 필요하지 않았습니다.

기술적 악용

에이전트는 인증이 필요하지 않은 22개의 공개적으로 노출된 API 엔드포인트를 발견했습니다. 한 엔드포인트는 사용자 검색 쿼리를 기록할 때 JSON 키를 SQL 문에 직접 연결하여 SQL 인젝션 취약점을 만들었습니다. 에이전트는 데이터베이스 오류 메시지에 JSON 키가 그대로 반영된 것을 발견했을 때 이를 인식했는데, 이는 표준 보안 도구가 플래그를 지정하지 않는 패턴이었습니다.

악용은 간단했습니다: "배포가 필요하지 않습니다. 코드 변경도 없습니다. 단일 HTTP 호출로 감싸진 단일 UPDATE 문만 있으면 됩니다."

접근된 데이터

전략, 합병 및 인수, 고객 참여에 관한 4,650만 건의 채팅 메시지(일반 텍스트로 저장됨)
기밀 고객 데이터가 포함된 728,000개의 파일
57,000개의 사용자 계정
AI의 동작을 제어하는 95개의 시스템 프롬프트(모두 쓰기 가능)

심각한 위험

쓰기 가능한 시스템 프롬프트는 공격자가 Lilli의 모든 응답을 수만 명의 컨설턴트에게 악성으로 변조할 수 있음을 의미했으며, 이는 가드레일, 답변 생성 및 출처 인용을 탐지되지 않은 상태에서 조작할 가능성이 있었습니다.

대응 및 수정

CodeWall은 2월 말에 이 결함을 발견했고 3월 1일에 전체 공격 체인을 공개했습니다. 3월 2일까지 McKinsey는 다음과 같은 조치를 취했습니다:

모든 인증되지 않은 엔드포인트에 패치 적용
개발 환경 오프라인 전환
공개 API 문서 차단

McKinsey는 통보 후 몇 시간 내에 모든 문제를 해결했으며 무단 데이터 접근 증거를 발견하지 못했다고 밝혔습니다. 회사의 조사는 제3자 포렌식 업체의 지원을 받았습니다.

광범위한 함의

이 사건은 AI 에이전트가 다른 AI 시스템에 대한 사이버 공격을 수행하는 효과적인 도구로 어떻게 발전하고 있는지를 보여줍니다. CodeWall CEO Paul Price는 이것이 보안 연구 연습이었지만, 위협 행위자들이 실제 공격에서 유사한 에이전트 기술을 점점 더 많이 사용하고 있어 기계 속도의 침입이 더 흔해지고 있음을 지적했습니다.

📖 전체 원문 읽기: HN AI Agents