
6,400만 명이 일자리에 지원했다. 비밀번호 "123456" 하나가 그들의 비밀을 통째로 넘겼다.
잠재 고객사인 중견 물류 회사와 통화를 하고 있을 때 McHire 사건이 터졌다. 공동 창업자가 통화 도중에 링크를 하나 보내왔다. 흘끗 보고 첫 두 줄을 읽은 나는 완전히 말문이 막혔다. 고객은 내가 아직 듣고 있느냐고 물었다.
"죄송합니다." 내가 말했다. "방금 맥도날드의 AI 채용 플랫폼 — 수백만 명의 지원자를 걸러내는 바로 그 시스템 — 이 '123456'이라는 비밀번호로 보호되고 있었다는 글을 읽었어요. 그리고 누군가가 방금 그냥 걸어 들어갔죠."
긴 침묵이 흘렀다. 그러더니 고객이 말했다. "그거 거의 우리 상황인데요."
그는 반쯤 농담이었다. 하지만 딱 반만.
2025년 6월 McHire 유출 사고는 약 6,400만 명의 구직자의 개인정보를 노출시켰다 — 이름, 이메일, 전화번호, IP 주소, "Olivia"라는 AI 채용 담당자와 나눈 채팅 기록, 그리고 가장 충격적으로 그들의 성격 검사 결과까지. 그 공격 경로는 정교한 국가 차원의 공격이 아니었다. 엘리트 해커 팀이 필요한 제로데이 취약점도 아니었다. 그것은 2019년부터 바뀌지 않고 그대로 남아 있던 기본 관리자 비밀번호였고, 다중 인증도 없는 계정이었으며, 누구나 브라우저 주소창에서 지원자 ID를 하나씩 넘겨가며 조회할 수 있게 해주는 API를 지키고 있었다.
베리프라즈나(Veriprajna)에서 우리가 하는 일 — 보안과 거버넌스를 아키텍처에 처음부터 심어 넣은 AI 시스템 구축 — 을 설명할 때, 나는 종종 "좋긴 한데, 그거 과한 거 아닌가요?"라는 뜻의 정중한 끄덕임을 받는다. McHire 유출 사고가 바로 내 대답이다. 과한 게 아니다. 최소한의 기본이다. 그리고 대부분의 기업은 그 최소한조차 하지 않고 있다.
McHire 플랫폼 내부에서 실제로 무슨 일이 벌어졌나?

이 유출은 위협 인텔리전스 팀이나 정부 기관이 발견한 것이 아니었다. 두 명의 보안 연구자 — Ian Carroll과 Sam Curry — 가 사소한 무언가를 알아챈 데서 시작됐다. 사용자들이 "Olivia" 챗봇에 버그가 많다고 불평하고 있었던 것이다. 프런트엔드 경험이 조잡하고 불안정했다.
그 디테일이 중요하다. 내 경험상 망가진 프런트엔드는 거의 언제나 하나의 신호다. 어떤 회사가 사용자가 보는 부분에 투자하지 않았다면, 사용자가 보지 못하는 부분에서는 무슨 일이 벌어지고 있을지 상상해 보라.
Carroll과 Curry는 이것저것 들쑤셔 보다가 Paradox.ai 직원용으로 만들어진 관리 포털을 발견했다 — Paradox.ai는 맥도날드를 대신해 McHire를 구축하고 운영한 업체다. 그들은 테스트 계정을 시도했다. 사용자명은? "123456." 비밀번호는? "123456." 통했다.
그걸 읽으면서 나는 프로덕션 시스템을 직접 만들어 본 사람이라면 누구나 알아볼 만한 특정한 종류의 분노를 느꼈다. 놀라움이 아니다 — 이것이 완벽하게 예방 가능했다는 사실을 아는 데서 오는 격노다. 이건 쿠버네티스 클러스터의 미묘한 설정 오류 같은 게 아니었다. 그것은 금고 문을 열어둔 채 "열쇠는 매트 밑에"라고 적힌 포스트잇을 붙여 놓은 것과 다름없는 디지털판이었다.
하지만 비밀번호는 첫 번째 단계일 뿐이었다. 일단 안으로 들어가자 연구자들은 안전하지 않은 직접 객체 참조(Insecure Direct Object Reference) 취약점 — 보안 용어로 IDOR — 을 발견했다. 이는 API가 로그인한 사용자가 특정 지원자의 데이터를 볼 권한이 있는지 실제로 검증하지 않았다는 뜻이다. URL에 있는 지원자 ID 번호를 바꾸는 것만으로 — 말 그대로 그저 숫자를 하나씩 올리는 것만으로 — 그들은 시스템에 있는 모든 지원자의 완전한 기록을 불러올 수 있었다.
그런 지원자가 6,400만 명이었다.
왜 성격 검사 데이터는 유출되기에 최악의 종류의 데이터인가
여기서 이 유출을 다룬 대부분의 보도가 요점을 놓친다. 헤드라인은 비밀번호에만 집중했다 — "123456", 하하, 얼마나 멍청한가 — 그러고는 넘어갔다. 하지만 진짜 재앙은 그 자격 증명이 아니다. 그 뒤에 숨어 있던 것이다.
신용카드 번호는 취소할 수 있다. 비밀번호는 바꿀 수 있다. 하지만 성격 평가 결과는? 행동 선별 점수는? AI가 당신의 기질, 감정적 반응, 갈등 대처 방식을 캐물었던 대화의 기록은?
그 데이터는 당신 자신이다. 만료되지 않는다.
성격 프로필이 유출되면, 비밀번호처럼 교체할 수 없다. 당신의 심리 측정 지문은 영원히 당신을 따라다닌다.
유출 사고 이후 나는 밤늦게까지 데이터 노출이 심리에 미치는 영향에 관한 연구를 읽으며 보냈다. 그 수치는 충격적이다: 유출 피해자의 거의 70%가 타인을 신뢰하지 못하는 지속적인 상태를 겪는다고 보고한다. 3분의 2는 깊은 무력감을 경험한다. 여러 연구가 개인정보 노출을 불안, 우울, 외상 후 스트레스 장애(PTSD)와 연관 지었다. 그리고 그 심각성은 데이터의 친밀성에 비례해 커진다 — 유출된 이메일 주소는 따끔하지만, "정서적으로 불안정하다"거나 "성실성이 낮다"고 말하는 유출된 성격 평가는 공개 해부처럼 느껴질 수 있다.
구직자들 — 그중 다수는 젊고, 다수는 패스트푸드 체인에서 첫 직장에 지원하는 이들 — 에게 이것은 특히 잔인하다. 그들은 AI가 하라고 했기 때문에 성격 검사에 응했다. 어떤 데이터가 수집되는지, 어떻게 저장되는지, 누가 접근할 수 있는지 제대로 이해할 방법이 그들에게는 없었다. 그리고 이제 그 데이터는 세상에, 어쩌면 영원히 나가 있으며, 미래의 고용주나 보험사, 악의적 행위자가 추론된 특성을 그들에게 불리하게 사용할 수 있는 세상에 존재한다.
우리 팀은 이 문제로 논쟁을 벌였다. 엔지니어 한 명이 말했다. "봐요, 데이터가 노출되긴 했지만 아마 대규모로 실제 유출되지는 않았을 거예요 — 연구자들이 책임감 있게 신고했잖아요." 그리고 기술적으로는 맞는 말이다. Paradox는 신고 후 몇 시간 만에 취약점을 패치했다. 하지만 나는 강하게 반박했다. 요점은 바로 이 특정 데이터셋이 다크웹 포럼에 올라갔느냐가 아니다. 요점은 아키텍처가 그것을 허용했다는 것이다. 이 시스템은 기본 비밀번호 하나와 브라우저만으로 6,400만 명의 심리 측정 프로필에 접근하기에 충분하도록 설계되어 있었다. 그건 아슬아슬하게 피한 사고가 아니다. 그건 설계 철학의 실패다.
베트남의 개발자와 모든 것을 열어젖힌 그 비밀번호
이 이야기에는 충분히 주목받지 못한 부차적 줄거리가 있다. 조사 결과, 베트남에 기반을 둔 Paradox.ai 개발자 한 명이 Nexus Stealer라는 악성코드 변종 — 사이버 범죄 포럼에서 판매되는 자격 증명 탈취 도구 — 에 감염되어 있었던 것으로 드러났다. 그 감염은 개발자의 기기에서 수백 개의 비밀번호를 빼냈다. 그중 다수는 취약하고 재사용된 것으로, 여러 서비스에 걸쳐 같은 일곱 자리 기본 비밀번호를 쓰고 있었다.
그 단 한 명의 침해된 개발자가 다음을 포함한 고객사의 Paradox.ai 계정과 연결된 자격 증명을 노출시켰다 — 펩시(Pepsi), 록히드 마틴(Lockheed Martin), 로우스(Lowe's), 그리고 아라마크(Aramark).
잠시 이 사실을 곱씹어 보길 바란다. 한 사람. 감염된 노트북 한 대. 재사용된 비밀번호 하나. 그리고 갑자기 미국에서 가장 큰 고용주들 중 일부의 채용 데이터가 위험에 처했다.
이것이 내가 "인간 노드" 문제라고 부르는 것이며, 그 어떤 이색적인 AI 공격 경로보다도 나를 훨씬 더 밤잠 못 이루게 하는 것이다. 세상에서 가장 정교한 모델을 만들고, 완벽한 데이터로 미세 조정하고, 가드레일(guardrails)로 감쌀 수 있다 — 그런 다음 개발자 단 한 명의 비밀번호 위생이 무너지면 카드로 쌓은 집 전체가 붕괴한다. 2025년 데이터 유출의 평균 비용은 444만 달러에 달했다. 하지만 조직들은 신원 관리를 여전히 뒷전의 일로, 아무도 보지 않는 연례 교육 영상으로 IT 팀이 처리하는 무언가로 취급한다.
당신의 AI 시스템의 보안은 결코 그 사슬에서 가장 약한 인간 자격 증명보다 강할 수 없다.
베리프라즈나에서 우리는 인간의 접근이 지속적인 검증을 요구하는 고위험 경로라는 가정 — 업계에서 제로 트러스트(Zero Trust)라고 부르는 것 — 을 중심으로 아키텍처를 구축해 왔다. 우리 팀을 신뢰하지 않아서가 아니라, 그 어떤 단일 인증 지점 하나에 방어선을 맡겼을 때 무슨 일이 벌어지는지 내가 봐 왔기 때문이다.
"딥 AI"란 실제로 무엇을 의미하는가 — 그리고 왜 당신이 신경 써야 하는가?
나는 지금 엔터프라이즈 AI에서 가장 중요한 개념이라고 생각하는, 그리고 McHire 유출이 완벽하게 보여주는 하나의 구분을 소개해야 한다: AI 래퍼(AI Wrapper)와 우리가 부르는 딥 AI(Deep AI)의 차이다.
AI 래퍼는 대부분의 기업이 "AI를 하고 있다"고 말할 때 실제로 만들고 있는 것이다. 그것은 얇은 애플리케이션 계층 — 흔히 챗봇이나 폼 — 으로, 사용자 입력을 API를 통해 GPT-4나 Claude 같은 기반 모델에 보내 응답을 받아 표시한다. AI는 당신이 빌려 쓰는 서비스다. 당신의 애플리케이션은 매장 진열대다. 보안, 데이터 관리, 거버넌스 — 그건 전부 나중에, 여느 CRUD 앱에 쓰는 것과 똑같은 웹 개발 방식으로 덧붙인 것이다.
Paradox.ai의 "Olivia"는 아키텍처상 래퍼였다. 정교한 것이었음은 분명하다. 하지만 그 보안 태세는 전통적인 웹 인프라에 묶여 있었고 — 그 인프라는 상상할 수 있는 가장 기본적인 수준에서 실패했다.
딥 AI는 근본적으로 다르다. 그것은 AI 모델을 아키텍처의 기본 구성 요소 — 데이터베이스나 메시지 큐처럼 — 로 취급하며, 그 자체의 보안 경계, 자체 접근 제어, 자체 감사 추적을 갖는다. 모델은 당신이 호출하는 블랙박스가 아니다. 당신이 통제하는 하나의 구성 요소다. 당신은 프롬프트 라우터, 메모리 계층, 피드백 평가기를 구축한다. 모든 입력을 적대적이라고, 모든 출력을 신뢰할 수 없다고 가정하는 계층화된 방어를 구현한다.
나는 이 아키텍처 철학에 대해 우리 연구의 인터랙티브 버전에서 심도 있게 다뤘지만, 핵심 통찰은 단순하다: 당신의 AI 보안 전략이 "인증과 WAF를 추가하겠다"라면, 당신은 래퍼를 만들고 있는 것이며, 기본 비밀번호 하나만 뚫리면 재앙에 이른다.
아무도 만들고 싶어 하지 않는 5계층 방어

McHire 소식이 나온 뒤, 나는 엔지니어링 팀을 방으로 불러 모아 말했다. "우리 스택이 이걸 어떻게 정확히 막았을지 하나하나 설명해 봐." 그들을 의심해서가 아니라 — 모든 가정을 압박 검증하고 싶었기 때문이다.
우리는 그 일에 세 시간을 썼다. 어느 순간, 우리 수석 보안 엔지니어가 화이트보드에 중세 성의 단면도처럼 보이는 다이어그램을 그렸다 — 각각 독립적으로 작동하는 동심원 형태의 방어선. 하나가 무너지면 다음이 버틴다. 그것이 실제로 어떻게 생겼는지 보자:
가장 바깥쪽 고리는 입력 정화(input sanitization)다 — 모든 프롬프트, 모든 API 호출은 주입 명령으로 오해될 수 있는 모든 것이 제거된다. 두 번째 고리는 휴리스틱 위협 탐지(heuristic threat detection)로, 알려진 적대적 패턴을 능동적으로 스캔한다. 세 번째는 메타 프롬프트 래핑(meta-prompt wrapping)으로, 사용자의 요청이 모델이 무시할 수 없는 안전한 지시의 봉투 안에 감싸인다.
네 번째 고리에서 흥미로워진다: 카나리아 모델과 심판 모델(canary and adjudicator models). 더 작은 모델이 요청을 먼저 분석한다. 그것이 무언가 수상한 것을 표시하면, 두 번째 모델이 최종 판단을 내린다. 그것은 AI를 위한 짝꿍 시스템이다 — 어떤 단일 모델도 일방적으로 행동할 수 없다.
다섯 번째이자 가장 안쪽 고리는 출력 검증(output validation)이다. AI가 생성하는 모든 응답은 그렇지 않다고 입증되기 전까지 신뢰할 수 없는 것으로 취급된다. PII 삭제 계층이 민감한 데이터를 스캔한다. 유해성 분류기가 해로운 콘텐츠를 확인한다. 검사받지 않고서는 아무것도 통과하지 못한다.
그 화이트보드 세션 동안 나를 답답하게 한 것은 이것이다: 이 중 어느 것도 이색적이지 않다. 그 어느 것도 연구적 돌파구를 필요로 하지 않는다. 그것은 새로운 영역에 적용된 엔지니어링 규율이다. 대부분의 기업이 그것을 하지 않는 이유는 비싸고, 느리고, 데모가 잘 되지 않기 때문이다. 래퍼 챗봇은 주말에 만들어 월요일에 이사회에 보여줄 수 있다. 제대로 거버넌스된 AI 시스템은 몇 달이 걸린다. 어느 쪽이 자금을 받게 될지 짐작해 보라.
AI 업계에는 데모 문제가 있다: 피칭에서 투자자에게 깊은 인상을 주는 것은 프로덕션에서 사용자를 보호하는 것과 아키텍처적으로 정반대다.
왜 법은 성격 데이터를 방사성 물질처럼 취급하는가?
내가 대화하는 모든 CTO에게서 받는 질문: "여기서 법적 노출은 정말로 얼마나 심각한가요?"
답: 잠재적으로 존립을 위협할 수준이다.
CCPA에 따르면, 암호화되지 않은 개인정보가 "합리적인 보안 절차"를 유지하지 못한 탓에 탈취된 경우 기업은 소송을 당할 수 있다. 법정 손해배상액은 사건당 소비자 1인당 750달러다. 이것을 6,400만 건에 곱하면 이론상 480억 달러의 책임에 이른다. 어떤 법원도 그 전액을 판결하지는 않겠지만, 그 일부만으로도 회사가 끝장날 수 있다.
GDPR에 따르면 벌금 상한은 2,000만 유로 또는 전 세계 연간 매출의 4% — 둘 중 더 높은 쪽이다. 그리고 채용 AI를 "고위험"으로 분류하는 EU AI 법은 필수 위험 평가 및 인간 감독 요건을 준수하지 않을 경우 최대 3,500만 유로 또는 전 세계 매출의 7%에 이르는 벌금을 도입한다.
하지만 대부분의 법률 분석이 놓치는 것은 이것이다: 평판 손상이 벌금보다 더 심각하다. 나는 유출 사고 몇 주 뒤 포춘 500대 기업의 CHRO와 이야기를 나눴다. 그녀는 자신의 팀이 AI 채용 도구를 평가해 세 곳의 업체를 최종 후보로 추렸다고 말했다. McHire 사건 이후, CEO가 그 계획 전체를 중단시켰다. "1년 더 수작업으로 하겠다." 그가 말했다. "나는 다음 헤드라인이 되지 않을 거다."
그것이 진짜 대가다. Paradox.ai에게만이 아니라, 엔터프라이즈 구매자와 신뢰를 쌓으려는 모든 정당한 AI 기업에게도. 단 하나의 파국적 유출이 모두를 위한 우물을 오염시킨다.
사람에 관한 결정을 내리는 AI를 실제로 어떻게 거버넌스할 것인가?
여기서 나는 불편한 무언가에 대해 솔직해져야 한다: 거버넌스 프레임워크는 지루하게 들린다. ISO 42001, NIST AI RMF, LLM을 위한 OWASP Top 10 — 이런 것들은 저녁 파티에서 창업자를 흥분시키는 종류의 것이 아니다. 하지만 이런 것들이 규제 심사에서 살아남는 기업과 그렇지 못한 기업을 가른다.
ISO 42001은 AI 관리 시스템에 관한 세계 최초의 국제 표준이다. 그것은 조직이 AI 고유의 위험을 식별하고, 투명성과 안전에 관한 명확한 목표를 수립하며, 각 AI 시스템에 대한 영향 평가를 수행하고, 내부 감사를 통한 지속적 모니터링을 유지하도록 요구한다. 그것은 체크박스 채우기 훈련이 아니다 — 재무 통제를 생각하는 방식으로 AI 거버넌스를 생각하도록 강제하는 관리 시스템이다.
NIST AI 위험 관리 프레임워크는 네 가지 기능 — GOVERN, MAP, MEASURE, MANAGE — 을 중심으로 구성된 정책 기준점을 제공한다. Paradox 유출에서는 GOVERN 기능이 가장 두드러지게 실패했다 — 2019년부터 그대로 방치되어 있던 오래된 관리자 계정을 폐기할 조직적 책임 소재가 전혀 없었다.
그리고 OWASP 프레임워크 — 특히 에이전트형 AI(agentic AI)에 관한 2025년 업데이트 — 는 개발자에게 가장 치명적인 취약점들의 순위 매겨진 분류 체계를 제공한다. 악의적 콘텐츠가 에이전트의 핵심 행동을 변경하는 에이전트 목표 탈취(Agent Goal Hijack). 에이전트가 정당한 기능을 해로운 목적에 쓰도록 속임당하는 도구 오용(Tool Misuse). 나쁜 데이터가 지속적 에이전트의 장기 기억에 주입되는 메모리 오염(Memory Poisoning).
이러한 이 프레임워크들이 어떻게 교차하는지에 대한 전체 기술적 분석을, 구현 세부 사항과 90일 CXO 로드맵을 포함하여 담은 상세한 동반 논문을 나는 발표했다. 하지만 요약하면 이렇다: 2026년까지 AI 거버넌스는 선택 사항이 아닐 것이다. 그것은 법무 팀을 둔 어떤 엔터프라이즈와도 거래하기 위한 전제 조건이 될 것이다.
"보안은 그냥 나중에 추가하면 안 되나요?"
사람들은 내게 끊임없이 이것을 묻는다. 답은 언제나 같고, 언제나 불편하다: 안 된다. 그럴 수 없다.
사후에 덧붙인 보안은 보안 연극이다. 이미 경첩에서 떼어낸 문에 채운 자물쇠다. McHire 유출이 이를 증명한다 — Paradox.ai에는 인증이 있었다. 관리자 포털이 있었다. 아마 어떤 보안 검토 절차도 있었을 것이다. 하지만 보안이 첫날부터 아키텍처에 내장되어 있지 않았기 때문에, 시스템 전체는 겨우 어린아이도 알아맞힐 수 있는 비밀번호만큼만 강했다.
내가 듣는 또 다른 반론: "하지만 우리는 대형 클라우드 제공업체를 씁니다. 그들의 보안이면 충분하지 않나요?" 베트남의 Paradox 개발자는 클라우드 인프라 취약점이 아니라 흔한 상용 악성코드에 침해당했다. 당신의 클라우드 제공업체가 완벽한 보안을 갖추고 있어도, 개발자가 여러 서비스에 걸쳐 비밀번호를 재사용했다는 이유로 당신의 시스템은 여전히 침해될 수 있다. 경계선은 당신이 생각하는 곳에 있지 않다.
그리고 나를 진심으로 화나게 하는 반론이 있다: "우리 AI 업체가 보안을 처리해요." 이것이 바로 맥도날드가 생각한 것이다. 그들은 AI 채용을 Paradox.ai에 아웃소싱했고, 그렇게 하면서 관리자 포털이 "123456"으로 보호되던 한 업체에 자신들의 보안 태세를 아웃소싱했다. 이제 공급망이 곧 보안 경계선이다. 당신 자신의 것에 적용하는 것과 똑같은 엄격함으로 당신 업체의 AI 인프라를 거버넌스하지 않는다면, 당신은 위험을 위임하는 것이 아니다 — 무시하는 것이다.
떨쳐낼 수 없는 생각
McHire 사건이 처음 터진 지 몇 주가 지난 지금도 내가 계속 되돌아가는 생각은 이것이다.
6,400만 명의 사람들 — 그중 다수는 십대이고, 다수는 첫 직장에 지원하는 이들 — 이 화면 앞에 앉아 AI 챗봇의 질문에 답했다. 시스템이 그렇게 하라고 했기 때문에 그들은 자신에 대한 정보를 공유했다. 그들에게는 지렛대도, 협상력도, "사실 저는 햄버거를 뒤집는 데 성격 검사를 하고 싶지 않은데요"라고 말할 능력도 없었다. 권력의 비대칭은 완전했다.
그리고 그들의 데이터 — 이름, 행동 프로필, AI가 내린 그들의 성격에 대한 평가 — 를 보유한 시스템은, 내 딸이 로블록스(Roblox) 계정에 쓰는 것과 똑같은 비밀번호로 보호되고 있었다.
우리는 대규모로 인간의 성격을 평가할 수 있는 AI 시스템을 만들었다. 우리는 다만 그 인간들을 보호하는 것을 잊었을 뿐이다.
이것은 기술 문제가 아니다. 가치관 문제다. 업계가 AI를 거버넌스할 시스템이 아니라 출시할 제품으로 취급할 때 벌어지는 일이다. "빠르게 움직이고 부수어라"가 "우리는 사람들의 생계에 관한 자동화된 결정을 내리고 있다"와 만날 때 벌어지는 일이다.
래퍼의 시대는 끝났다. 다음 규제의 물결, 다음 유출, 다음 공적 심판에서 살아남는 기업들 — 그들은 헤드라인이 난 뒤 보안을 덧붙인 기업이 아니라, 보안을 토대에 심어 넣은 기업일 것이다. 베리프라즈나에서 우리가 기꺼이 만들려는 AI는 오직 그런 종류뿐이다. 더 쉬워서가 아니다. 그 대안은 변호될 수 없기 때문이다.
비밀번호 "123456"은 유물이 되어야 한다. 그것이 문제가 되도록 허용한 아키텍처는 멸종해야 한다. 그리고 데이터가 노출된 6,400만 명의 사람들은 업계의 현재 "이 정도면 충분하다"는 정의보다 더 나은 것을 받을 자격이 있다.


