Paradox의 챗봇 기반 서비스가 미국 내 맥도날드 프랜차이즈의 90%에서 사용되는 것으로 알려졌다.
보안 연구원 두 명이 맥도날드가 개발한 McHire 챗봇 'Paradox'의 취약점을 발견했으며, 이 취약점은 해당 서비스를 이용해 지역 프랜차이즈에 구직 지원을 한 약 6,400만 명의 개인 정보를 유출하는 데 악용될 수 있었습니다. (출처: Wired 참고.)
제가 "해킹"을 경험한 것은 14살 때였습니다. 이 부분을 인용 부호로 묶은 이유는 당시 계정의 비밀번호가 "1234"였기 때문입니다. (물론 따옴표나 마침표 없이였으니 상황은 더욱 심각합니다.) 이후 저는 계정 접근권을 회복한 뒤 비밀번호 관리자 사용을 시작했습니다.
이 이야기가 왜 관련이 있을까요? 이 취약점을 발견한 연구원들, 이안 캐롤(Ian Carroll)과 샘 커리(Sam Curry)가 McHire에 접속하는 데 사용된 "Paradox 팀원들"의 비밀번호를 추측해 낼 수 있었기 때문입니다. 바로 "123456"입니다. 제가 사용했던 비밀번호보다는 나은 수준이지만, 수십 년이 지난 지금도 약한 비밀번호를 사용하는 것이 위험하다는 사실을 많은 사람이 깨달은 시점에서 그 사용을 정당화하기는 어렵다고 생각합니다.
(기사 제목 및 관련 내용들은 전문적인 맥락에서 사실 그대로 유지합니다.)
엔지니어, 스마트 수면 마스크가 소프트웨어 보안 문제로 타인의 뇌파를 읽을 수 있음을 발견.
사용자가 자체 기기 조작 중 6,700대 이상의 로봇 청소기 제어권을 우발적으로 탈취.
보안 연구원, AMD 자동 업데이트 프로그램이 소프트웨어를 불안정하게 다운로드하여 원격 코드 실행을 가능하게 한다고 지적.
좋은 소식도 있었습니다. 캐롤과 커리는 "우리는 McHire 시스템 내부의 테스트 레스토랑 관리자 권한을 획득했습니다"라고 전했습니다. "레스토랑의 모든 직원이 McHire를 운영하는 회사인 Paradox.ai 소속 직원임이 확인되었습니다. 이는 앱의 작동 방식을 파악하는 데 큰 도움이 되었지만, 실제로 기밀성(Confidentiality)이나 무결성(Integrity)에 미치는 영향은 아직 입증하지 못했다는 점에서 아쉬움이 남았습니다."
그리고 여기서 두 번째 취약점이 발견되었습니다. (혹은, 믿기 어려울 정도로 부실한 비밀번호를 진짜 취약점으로 간주할지 여부에 따라 첫 번째 취약점이 될 수도 있습니다.) McHire API의 안전하지 않은 직접 객체 참조(Insecure Direct Object Reference, IDOR) 취약점 덕분에 캐롤과 커리는 "맥도날드에 일자리를 지원한 누구든"의 다음 정보에 접근할 수 있었습니다:
- 이름, 이메일 주소, 전화번호, 주소
- 지원 상태와 해당 지원자가 제출한 모든 상태 변경/양식 입력 정보 (예: 근무 가능한 시간 등)
- 해당 사용자로 소비자 UI에 로그인할 수 있는 인증 토큰(Auth token)으로, 이는 원본 채팅 메시지 및 추정되는 기타 정보를 유출합니다.
캐롤과 커리는 Paradox가 이전에 맥도날드 프랜차이즈의 90%가 채용 관행의 일환으로 McHire를 사용하고 있다고 자랑했던 사실을 언급했습니다. (해당 링크는 여전히 Paradox 블로그의 관련 게시물로 연결되나, 맥도날드 관련 섹션은 삭제되었고, Wayback Machine이나 Google 캐시 어느 쪽도 이전 버전을 보존하지 못했습니다. 매우 이상한 상황입니다!)
따라서 비교해 봅시다. 저는 십대 시절 비밀번호 "1234"로 포럼 계정을 개설한 적이 있습니다. 당시 그 계정의 정보가 유출된 것은 결국 아무런 의미가 없었습니다. Paradox는 2020년 2억 달러의 투자금을 모금했으며, 맥도날드는 2,130억 달러의 시가총액을 보유하고 있고, McHire의 결함은 수천만 명에 달하는 사람들의 개인 정보를 노출했습니다. 하지만 적어도 그들의 비밀번호는 두 글자가 더 길었습니다!
어쩌면 유일하게 긍정적인 점은 캐롤과 커리가 McHire의 취약점들이 공개된 지 단 하루 만에 해결되었다고 언급한 것입니다. 관련 회사들이 앞으로 'McHigher(더 높은)' 기준을 유지하기를 기대해 봅니다.