원문: codewall.ai | 토론: GeekNews · 댓글 1개
핵심 요약 맥킨지의 내부 직원용 AI 플랫폼 ‘Lilli’에서 인증 없이 접근 가능한 취약점을 통해 전체 데이터베이스에 읽기·쓰기 권한이 획득되었다. 자율 보안 에이전트가 공개된 API 문서의 200여 개 엔드포인트 중 22개가 인증 없이 접근 가능함을 발견했다. 원래 VPN과 SSO 뒤에 있던 내부 시스템이 공개 전환되면서, 원래 팀이 다른 프로젝트로 이동한 뒤 보안 점검이 누락된 것으로 분석된다.
커뮤니티 의견
- @GN⁺: “아마도 어떤 시니어 파트너가 영향력을 행사해 Lilli를 공개로 전환했을 가능성이 큼. 결국 이는 McKinsey의 기술 문화 실패임”
💡 실무 포인트: 내부용 AI 플랫폼을 외부 공개로 전환할 때, 반드시 보안 감사를 재수행할 것. API 인증 누락은 가장 흔한 취약점이다.