원문: codewall.ai | 토론: GeekNews · 댓글 1개
핵심 요약 맥킨지의 내부 직원용 AI 플랫폼 ‘Lilli’에서 인증 없이 접근 가능한 취약점을 통해 전체 데이터베이스에 읽기·쓰기 권한이 획득되었다. 자율 보안 에이전트가 공개된 API 문서의 200여 개 엔드포인트 중 22개에서 인증 부재를 발견했다. 내부 프로젝트를 외부로 전환하는 과정에서 보안 검토가 누락된 것이 근본 원인으로 분석된다.
커뮤니티 의견
- @GN⁺(HN): “아마도 어떤 시니어 파트너가 영향력을 행사해 Lilli를 공개로 전환했을 가능성이 큼. 결국 이는 McKinsey의 기술 문화 실패”
💡 실무 포인트: 내부 AI 플랫폼을 외부 공개로 전환할 때 반드시 모든 API 엔드포인트의 인증·인가를 재검증하고, 자동화된 보안 테스트를 CI/CD에 통합하라.