“비밀번호가 123456?” 맥도날드 AI 채용봇, 수천만 지원자 정보 노출 논란

맥도날드 AI 채용 시스템에서 터무니없는 보안 결함으로 수천만 명의 구직 지원자 개인정보가 해커들에게 노출될 뻔했다는 사실이 밝혀졌다. 와이어드가 9일(현지 시간) 보도한 내용에 따르면, 보안 연구원 이안 캐럴(Ian Carroll)과 샘 커리(Sam Curry)는 맥도날드가 사용하는 AI 채용 챗봇 ‘올리비아(Olivia)’ 시스템에 침투해 최대 6400만 개의 지원자 기록에 접근할 수 있었다고 발표했다. 이들은 관리자 계정의 사용자명과 비밀번호가 모두 “123456”이라고 추측하는 것만으로 시스템에 접근했다.

와이어드에 따르면, 두 연구원은 맥하이어닷컴(McHire.com)에서 인공지능 소프트웨어 회사 패러독스닷에이아이(Paradox.ai)가 개발한 채용 시스템 백엔드에 30분 만에 침투할 수 있었다. 노출된 정보에는 지원자들의 이름, 이메일 주소, 전화번호가 포함되어 있었다. 패러독스닷에이아이는 해당 관리자 계정이 2019년 이후 사용되지 않았으며 폐기되었어야 했다고 인정했다. 회사 최고법무책임자 스테파니 킹(Stephanie King)은 “우리가 책임을 진다”며 향후 버그 바운티 프로그램을 도입하겠다고 밝혔다.

맥도날드는 “제삼자 공급업체인 패러독스닷에이아이의 용납할 수 없는 취약점에 실망했다”며 문제가 보고된 당일 해결되었다고 발표했다. 전문가들은 이번 사건으로 노출된 정보가 사기꾼들이 맥도날드 채용 담당자로 가장해 피싱 공격을 벌이는 데 악용될 수 있었다고 경고했다.

해당 기사의 원문은 와이어드에서 확인 가능하다.

이미지 출처: 이디오그램 생성