맥도날드 AI 채용봇, 주요 데이터 유출로 6400만명의 구직자 노출

맥도날드의 채용 챗봇에서 약한 비밀번호로 인해 수백만 명의 구직자들의 데이터가 노출되었습니다. 이로 인해 AI, 개인 정보 보호, 그리고 디지털 보안 관행에 대한 심각한 우려가 제기되고 있습니다.

WIRED가 처음 보도한 바와 같이, 맥도날드의 채용 플랫폼에 있는 심각한 보안 결함으로 인해 수백만 명의 채용 지원자들의 개인 정보가 놀랍게도 기본적인 방법을 통해 노출되었습니다. 이 보안 문제는 McHire.com에서 발견되었는데, 이 사이트는 지원자들이 Paradox.ai가 개발한 인공지능 채팅봇 ‘올리비아’와 상호작용하여 지원자 검증을 할 수 있게 해줍니다.

WIRED는 보안 전문가 Ian Carroll과 Sam Curry가 ‘123456’이라는 사용자 이름과 비밀번호의 조합을 통해 McHire의 백엔드 시스템에 접근했다고 보도했습니다. 연구원들은 시스템에 접속하고 나서 6천4백만 개 이상의 기록에서 지원자의 정보, 즉 이름, 이메일, 전화번호, 채팅 로그를 얻을 수 있었습니다.

Carroll은 WIRED에게 “그것은 일반적인 채용 과정에 비해 상당히 이질적이고 디스토피아적으로 보였습니다”라고 말했습니다. “그래서 일자리를 찾기 시작했고, 그리고 30분 후에는 몇 년 동안 맥도날드에 제출된 거의 모든 지원서에 전면적으로 접근할 수 있었습니다,”라고 Carroll은 덧붙였습니다.

Paradox.ai는 성명에서 결함을 확인하고 개인 데이터가 포함된 기록은 소수뿐이라고 밝혔습니다. 노출된 계정은 2019년 이후로 접속되지 않았으며 다중 인증과 같은 기본적인 보호 조치가 없었습니다. “우리는 이 문제를 가볍게 보지 않습니다,”라고 Paradox.ai의 최고 법무 임원인 스테파니 킹이 WIRED에 보도되었습니다. “우리가 이를 책임집니다,”라고 그는 덧붙였습니다.

WIRED는 맥도날드가 이 문제의 원인인 Paradox.ai를 지목하고 문제가 즉시 해결되었다는 다른 성명을 발표했다고 보도했습니다. “우리는 이러한 제3자 제공 업체로부터의 불허용할 수 없는 취약성에 실망했습니다,”라고 회사가 말했습니다.

Carroll과 Curry는 노출된 데이터가 사기 공격을 실행하는 데 사용될 수 있음을 설명했습니다. 이 공격은 맥도날드의 인사 담당자를 가장하여 지원자로부터 민감한 금융 정보를 요청하는 방식으로 이루어집니다. 노출된 데이터에는 비민감한 정보가 포함되어 있지만, 이것이 최저임금 직업 지원서라는 맥락 속에서는 지원자들에게 해를 끼칠 위험이 있습니다.