자율 보안 에이전트가 맥킨지 내부 AI 플랫폼 ‘Lilli’를 해킹한 사례 (2026.02). 인증 없이 접근 가능한 API 22개를 발견하고 그중 하나의 SQL 인젝션으로 침투. 4,650만 채팅 메시지 + 72.8만 파일 + 5.7만 계정 전체 DB 읽기·쓰기 권한 획득. 시스템 프롬프트까지 수정 가능한 상태로 — “AI 프롬프트가 새로운 Crown Jewel”임을 입증한 충격적 사건.
출처: codewall.ai (2026.03.09 공개)
공격자: CodeWall 자율 보안 에이전트
대상: 맥킨지 Lilli (43,000명+ 직원용 내부 AI)
결론: 프롬프트 계층 = 새로운 보안 취약점
맥킨지 Lilli란?
맥킨지가 2023년 구축한 내부 AI 플랫폼:
- 43,000명+ 직원용
- 채팅 + 문서 분석 + RAG 검색
- 10만+ 내부 문서 검색
- 월 50만+ 프롬프트 처리
- 직원 70%+ 사용
이름 유래:
1945년 맥킨지 최초의 여성 전문직 직원
공격 과정
1. API 탐색
공개된 API 문서 발견
↓
200여 개 엔드포인트 검사
↓
22개가 인증 없이 접근 가능 ⚠️
2. SQL 인젝션 발견
취약 엔드포인트:
사용자 검색 쿼리를 DB에 기록
→ JSON 키가 SQL 문에 직접 연결
→ SQL 인젝션 발생
특이사항:
OWASP ZAP 등 기존 도구가 탐지 못 한 취약점
자율 에이전트가 15회 반복 요청으로 구조 파악
3. 데이터 추출
자율 에이전트의 반응 (로그):
첫 직원 식별자 노출 → "WOW!"
대규모 데이터 확인 → "This is devastating."
노출된 데이터 규모 ⚠️
데이터베이스
항목
규모
채팅 메시지
4,650만 건 (평문!)
파일
72.8만 개
사용자 계정
5.7만
AI 어시스턴트
38.4만
워크스페이스
9.4만
파일 유형
PDF: 19.2만 개
Excel: 9.3만 개
PowerPoint: 9.3만 개
Word: 5.8만 개
→ 파일명만으로도 민감, 직접 다운로드 가능한 URL 존재
채팅 내용 (평문 저장!)
✗ 전략 컨설팅 대화
✗ 고객 프로젝트 정보
✗ 재무·M&A 데이터
✗ 내부 연구·방법론
데이터베이스 외 추가 노출
AI 시스템 자체
노출
내용
시스템 프롬프트
95개
AI 모델 설정
12개 모델 유형
가드레일
동작 지침 노출
파인튜닝 모델
배포 세부 정보
RAG 문서 조각
368만 개 RAG 청크
+ S3 경로
+ 내부 메타데이터
→ 수십 년간 축적된 맥킨지 독점 연구·방법론 노출
외부 AI API 흐름
- 110만 개 파일
- 21.7만 에이전트 메시지
- 26.6만+ OpenAI 벡터 저장소
+ IDOR 취약점으로 개별 직원 검색 이력 접근
프롬프트 계층 = 새로운 Crown Jewel ⭐
핵심 위험: SQL 인젝션이 쓰기 권한 포함
Lilli의 시스템 프롬프트가
데이터베이스에 저장됨
↓
공격자가 SQL UPDATE로 수정 가능
↓
단일 HTTP 요청으로 AI 행동 지침 변경
잠재적 공격 시나리오
공격
영향
조작된 조언
재무 모델·전략 제안 변조
데이터 유출
AI 응답에 내부 정보 삽입
가드레일 제거
접근 제어 무시, 데이터 노출
은밀한 지속성
로그·코드 변경 없이 AI 동작만 변조
충격적 결론
프롬프트 = 코드·서버보다 보안 관리 미흡
✗ 접근 제어 부재
✗ 버전 관리 부재
✗ 무결성 검증 부재
→ "AI 프롬프트는 새로운 핵심 자산(Crown Jewel)"
→ 그러나 보호 수준은 가장 낮음
사건의 의미
맥킨지는:
✓ 세계적 기술 역량
✓ 막대한 보안 투자
✓ 글로벌 컨설팅 표준
그런 곳에서:
✗ 고전적 SQL 인젝션 (2년간 운영!)
✗ 22개 비인증 엔드포인트
✗ 프롬프트 평문 저장
→ "AI 시대 보안의 사각지대" 입증
자율 에이전트 vs 전통 스캐너
OWASP ZAP 같은 체크리스트 스캐너:
✗ 이번 SQL 인젝션 탐지 실패
CodeWall 자율 에이전트:
✅ 15회 반복 요청으로 구조 파악
✅ 27건 취약점 연쇄 발견
✅ 실제 데이터 추출까지 자동 수행
→ AI 시대 보안: AI vs AI
공개 타임라인
날짜
사건
2026-02-28
자율 에이전트 SQL 인젝션 발견
2026-02-28
27건 취약점 문서화
2026-03-01
맥킨지 보안팀 보고
2026-03-02
CISO 수신 확인 + 증거 요청
2026-03-02
모든 비인증 엔드포인트 패치, API 문서 차단
2026-03-09
공개 발표
교훈: AI 시스템 보안 체크리스트
□ 모든 API 엔드포인트 인증 필수
□ 공개 API 문서 외부 차단
□ SQL 인젝션 보호 (Parameterized query)
□ 시스템 프롬프트 = 별도 저장소 + 읽기 전용
□ 프롬프트 무결성 검증 (해시·서명)
□ 프롬프트 버전 관리 + 변경 감사
□ 채팅·파일 평문 저장 ❌, 암호화
□ AI 모델 설정 분리 격리
□ RAG 문서 접근 제어 강화
□ IDOR 방어 (사용자별 권한 체크)
□ 자율 에이전트 기반 보안 테스트
□ 정기 침투 테스트 (체크리스트 ❌)
1. AI 보안의 "사각지대" 공식화
- 맥킨지급 회사도 당함
- 어떤 회사도 안전하지 않음
2. 프롬프트 = Crown Jewel
- 코드보다 더 보호해야
- 그런데 가장 보호 안 됨
- 패러다임 전환 필요
3. 자율 에이전트 보안 시대
- 공격도 AI, 방어도 AI
- 전통 스캐너로는 부족
4. SQL 인젝션의 부활
- 1998년부터 알려진 취약점
- AI 시대에도 여전히 치명적
- "새 기술 + 옛 취약점" 조합
5. 평문 저장의 위험
- 4,650만 평문 채팅 = 재앙
- 암호화는 기본 중 기본