맥도날드의 AI 채용 플랫폼서 6400만 개인정보 노출돼

맥도날드의 인공지능 채용 플랫폼인 맥하이어(McHire)에서 6400만 명의 개인정보가 노출되는 사고가 발생했다. 플랫폼에 존재하는 ‘불안전 직접 객체 참조(Insecure Direct Object Reference, IDOR)’ 취약점 때문에 생긴 일로, 이 취약점은 보안 전문가 이안 캐럴(Ian Carroll)과 샘 커리(Sam Curry)가 발견했다. 해당 취약점 익스플로잇에 성공할 경우 공격자는 승인 과정을 거치지 않고도 민감한 데이터에 접근할 수 있게 된다.

2개의 취약점

사실 두 전문가가 제일 먼저 발견한 취약점은 ‘허술한 비밀번호’였다. 맥하이어를 사용하고 있는 맥도날드 식당 소유주 및 관리자들의 계정 비밀번호들 중 상당수가 ‘쉽게 추측할 수 있을 만한’ 것이었다. “ID와 비밀번호 모두 ‘123456’으로 설정된 경우가 많더군요. 몇 번 시도해보지도 않았는데 높은 권한을 가진 계정에 로그인할 수 있었습니다.”  123456이 맥하이어 관리자 계정 설정시 사용되는 디폴트 값인지 아닌지는 명확히 알려지지 않고 있지만, 많은 계정들에서 동일하게 발견되고 있다면 의심해볼 만한 일이다. 

장비를 최초로 설치하거나, 계정을 최초로 만들 때 제조사/제공업체에서 디폴트 계정과 비밀번호를 미리 설정하는 경우들이 적지 않다. 이 경우 사용자의 편의성을 위해 1234나 admin과 같은 값이 선호된다. 여기서 ‘편의성’이란 최초 로그인에 국한된 개념이다. 처음  장비나 서비스를 사용하는 사람들이 최대한 편리하게 로그인을 해서 계정 ID와 비밀번호를 바꾸기를 바라는 마음에서 해주는 배려에 가깝다. 문제는 사용자들이 그 편의성을 오랜 시간 누리려 한다는 것이다. 그래서 ID와 비밀번호를 바꾸지 않고 디폴트 값 그대로 유지하다가 각종 해킹 공격에 노출된다. 보안 전문가들은 오래 전부터 ‘제조사/개발사가 미리 설정한 것들을 신뢰하지 말라’고 경고하지만, 이를 귀담아 듣는 사용자들이 빠르게 늘어나지는 않고 있다.

그 다음에 발견된 것이 위에서 언급된 IDOR 취약점이다. IDOR, 즉 ‘불안전 직접 객체 참조’라고 하는 취약점은 간단히 말해 웹 주소에 나타나 있는 숫자 일부를 살짝 바꿔주기만 해도 민감 정보에 접근할 수 있게 되는 것을 말한다. 맥하이어의 경우, 구직자와 AI 챗봇이 대화를 하면서 채용 절차를 거치는데, 이 때 생성되는 1:1 세션은 반드시 당사자들에게만 공개되는 게 맞다. 하지만 IDOR 취약점 때문에 아무라도 세션 웹 주소를 살짝 바꾸면 다른 지원자의 1:1 세션에 접근해 이력서에 나와 있는 온갖 개인정보들을 열람할수 있게 된다는 게 이번 사건의 핵심이다.

캐럴과 커리는 블로그를 통해 “수천만 장의 이력서를 열람하는 데 성공했다”며 “개인정보는 물론 인증 토큰까지도 가져감으로써 각 개인이 맥하이어 챗봇과 어떤 대화를 했는지까지도 확인했다”고 알렸다. 당연하지만 이들은 순수 연구와 조사 목적으로만 이 정보들에 접근했고, 확인을 마친 후에는 사건 관계사인 맥도날드 등에 사실을 알렸다. 이게 지난 6월 30일의 일이었다. 맥도날드는 2시간도 지나지 않아 조치를 취하기 시작했다. 디폴트로 보이는 123456 크리덴셜을 전부 폐지시키는 것부터 실행했다. 그 다음 7월 1일부로 IDOR 취약점까지도 해결했다. 

아무리 좋은 기술이라도...

보안에는 ‘구현 오류(implementation error)’라는 게 있어 적지 않은 문제를 일으키곤 한다. 강력하고 새로운 개념 혹은 기술을, 실제 작업 환경에서 사용할 수 있도록 구현하는 과정에서 발생하는 오류를 말한다. 인류 역사상 가장 강력한 암호화 기술을 큰 마음먹고 도입해 사용하고 있는데, 정작 복호화 키를 제대로 보관하지 않아 뚫린다든지, 맥하이어처럼 최첨단 인공지능 챗봇으로 인사 업무 일부를 자동으로 하게 해두었는데, 그 챗봇이 탑재되어 있는 플랫폼에 기초적인 취약점이 있어 뚫린다든지 하는 것을 말한다. 현존하는 가장 강력한 슈퍼컴퓨터를 사와서는 지붕 없는 물 웅덩이 위에 거치해 두고 있는 것과 비슷하다.

이번 사건은 ‘AI 기반 맥하이어에서 정보가 노출됨’으로 요약 가능하지만, 인공지능이라는 기술 자체의 허점을 드러내지 않는다. 아무리 좋은 기술이라도 현장에서 허술하게 운영하면 보안 사고에 노출될 수밖에 없다는 걸 증명한다. 새 포도주는 새 부대에 담아야 한다는 오래된 교훈이 어겨지는 지점에서는 보안 사고가 필연적으로 발생한다. 신기술에 투자할 마음이 있다면, 그 신기술이 운영되는 인프라와 보안 개념 역시 새로워져야 한다.