공개 보고서의 핵심 주장

2026년 3월 9일 CodeWall은 McKinsey의 내부 AI 플랫폼 Lilli에 대한 심각한 침해 사례를 공개했고, 이 글은 Hacker News에서 크롤링 시점 기준 498점과 195개 댓글을 기록했다. 보고서에 따르면 사람 개입 없이 동작한 autonomous offensive agent가 Lilli의 공개 attack surface를 탐색하는 과정에서 200개가 넘는 API endpoint 문서를 확인했고, 그중 22개는 authentication 없이 접근 가능했다고 한다.

핵심 취약점은 AI 특유의 난해한 문제라기보다 오래된 웹 취약점 계열에 가깝다. CodeWall 설명상 한 unauthenticated endpoint는 값 자체는 parameterized SQL로 처리했지만 JSON key, 즉 field name을 그대로 SQL에 이어 붙였다. 에러 메시지에 반영되는 key 패턴을 이용해 agent가 query 구조를 추론했고, blind SQL injection을 여러 차례 반복해 2시간 이내에 read/write 권한까지 확보했다는 것이다. 이 지점이 HN에서 크게 반응을 얻은 이유도 명확하다. 전통적인 취약점이 modern AI application stack에서 얼마나 큰 통제권 문제로 번질 수 있는지를 보여주기 때문이다.

AI 시스템에서 왜 파급력이 더 커지나

CodeWall이 제시한 영향 범위는 단순 사용자 테이블 유출 수준을 넘어선다. 글에 따르면 접근 가능했던 데이터에는 4,650만 개 chat message, 72만 8천 개 파일, 5만 7천 개 user account, 38만 4천 개 AI assistant, 9만 4천 개 workspace, 368만 개 RAG document chunk가 포함됐다. 여기에 12개 model type에 걸친 95개의 prompt·configuration과 document ingestion 파이프라인의 storage metadata도 노출됐다고 주장한다.

기술적으로 가장 중요한 지점은 여기다. 일반 SaaS에서 database read/write는 이미 치명적이지만, 내부 AI 플랫폼에서는 그 권한이 prompt layer 제어권으로 이어질 수 있다. CodeWall은 동일한 injection 경로로 system prompt, guardrail, retrieval behavior까지 바꿀 수 있었다고 본다. 전략·재무·고객 프로젝트에 쓰이는 assistant라면 데이터 탈취뿐 아니라, 사용자가 신뢰하는 답변 자체를 조용히 오염시킬 위험이 생긴다.

Hacker News가 주목한 이유

HN 토론의 핵심은 “AI가 SQL injection을 만들었다”가 아니라, AI 제품이 기존 애플리케이션 취약점의 blast radius를 더 키운다는 점에 있었다. prompt, routing rule, RAG metadata, model config가 운영 데이터와 나란히 저장되는 구조에서는, 오래된 injection bug가 사실상 control plane compromise가 될 수 있다.

CodeWall은 2026년 3월 1일 McKinsey에 responsible disclosure를 보냈고, 3월 2일 수신 확인과 함께 unauthenticated endpoint patch를 검증한 뒤 3월 9일 공개했다고 적었다. 보고서의 모든 세부를 외부에서 재현하긴 어렵더라도, 이 글이 던진 설계 교훈은 분명하다. enterprise AI 팀은 prompt, retrieval state, model policy를 이제 코드와 secret만큼 중요한 crown jewel asset으로 취급해야 한다.

CodeWall disclosure · Hacker News discussion

#sql-injection

Hacker News, McKinsey Lilli를 노린 AI 보안형 SQL injection 사례에 주목