AI 챗봇 ‘올리비아’가 수집한 지원자 정보, 관리자 계정 취약점으로 유출 위험
연구진, 30분 만에 수년치 지원자 데이터 접근…식별번호 조작으로 대량 조회 가능
맥도날드 “즉각 수정 조치…외부 협력사 보안 관리 강화 약속”

[보안뉴스 여이레 기자] 맥도날드의 알바 채용 사이트에서 손쉽게 지원자 개인정보를 빼낼 수 있는 것으로 드러났다. 이 사이트 관리자 계정 비밀번호는 ‘123456’였다.


▲맥도날드 AI 챗봇 ‘올리비아’(Olivia) [자료: 맥도날드]

맥도날드는 ‘올리비아’(Olivia)라는 AI 챗봇을 활용, 구직 신청을 처리한다. AI 챗봇이 지원자와 대화하며 이력서나 연락처 정보를 묻고, 인성 평가 사이트로 안내하는 등의 역할을 한다. 올리비아는 파라독스.ai(Paradox.ai)라는 협력사가 개발, 운영한다.

9일(현지시간) 와이어드 보도에 따르면, 사이버 보안 연구자 이안 캐롤과 샘 커리는 맥도날드의 채용 사이트 ‘맥하이어 닷컴’(McHire.com)의 AI 챗봇 플랫폼 백엔드에 침투하는데 성공했다.

이들은 파라독스.ai 계정에 접근해 올리비아와 대화한 지원자 6400만명의 이름과 이메일 주소, 전화번호 등을 확보했다.

관리자 계정 아이디는 ‘admin’, 비밀번호는 ‘123456’으로 설정돼 있어 쉽게 추측 가능했다. 또 지원자에 부여되는 식별번호를 일부 조정해 지금까지 지원한 거의 모든 사람의 정보를 확인할 수 있었다.

연구진은 채용 사이트에 구직 신청을 하며 시스템을 살펴보다 30분 안에 최근 수년 간 맥도날드에 지원한 거의 모든 지원자의 정보에 접근할 수 있었다고 전했다.

파라독스.ai는 이들 연구진 외엔 ‘123456’ 비밀번호가 설정된 계정에 접근한 외부인은 없다고 알렸다. 또 연구진은 올리비아가 생성형 AI 모델에 대한 프롬프트 주입 공격은 잘 방어했다고 밝혔다.

다만, 이들 개인정보는 취업 지원이라는 특정 맥락과 연계돼 있어 설득력 있는 피싱 공격에 악용될 소지가 있다고 연구진은 경고했다.

맥도날드는 “문제를 인지한 즉시 수정했으며, 외부 협력 업체 보안 관리에 더욱 만전을 기하겠다”고 밝혔다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>