글로벌 패스트푸드 기업 맥도날드가 도입한 AI 채용 챗봇 ‘올리비아’(Olivia)의 허술한 보안이 수천만 지원자의 개인정보를 노출시킨 사실이 드러났다.

채용 혁신의 상징으로 홍보된 AI 시스템이 ‘123456’과 같은 기본 비밀번호, 미작동 중인 테스트 계정, 다중 인증 부재 등 상상하기 힘든 기초적 취약점에 의해 무력화됐다.

이번 사태는 AI 기반 인재 선발의 확대가 데이터 보안 측면에서 얼마나 위험해질 수 있는지를 단적으로 보여준다.

맥도날드 AI 채용 시스템, 6천만 명 개인정보에 ‘문이 활짝’

2025년 7월, 글로벌 IT 보안 커뮤니티에 큰 충격을 안긴 사건이 발생했다.

미국을 비롯해 전 세계 맥도날드 매장에서 활용 중인 AI 채용 챗봇 ‘올리비아’(Olivia) 플랫폼에서, 무려 6,400만 건에 이르는 지원자 개인정보가 허술한 보안 설정으로 인해 누구나 접근 가능한 상태였음이 밝혀졌다.

이 AI 챗봇은 미국 소프트웨어 기업 Paradox.ai가 개발, ‘McHire.com’을 통해 지원자와 대화를 주고받으며 이력서, 연락처 등 핵심 정보를 수집하는 구조였다.

어떻게 뚫렸나: ‘123456’의 배신, 테스트 계정 방치

보안 연구원 이안 캐럴(Ian Carroll)과 샘 커리(Sam Curry)는 Reddit 등에서 맥도날드 AI 챗봇이 지원자와 ‘헛소리 대화’를 반복한다는 불만을 보고 호기심을 품었다. 챗봇의 프롬프트 인젝션 등 AI 고유의 허점을 점검하던 중, 개발사 Paradox.ai의 관리자 로그인 링크가 노출된 사실을 발견했다.

여기에 ‘admin/admin’과 ‘123456/123456’ 같은, 누구나 유추 가능한 비밀번호로 로그인을 시도했고, ‘123456’이 실제로 뚫리면서 관리자 권한으로 플랫폼 내 모든 채용 대화와 개인정보 데이터베이스에 접근이 가능했다.

더욱 충격적인 점은 이 계정이 2019년부터 방치된 테스트 계정이었다는 점, 그리고 다중 인증(MFA) 조차 설정되어 있지 않았다는 사실이다.

AI 도입의 ‘숨은 그림자’ — 기본 보안의 부재

AI 채용 시스템은 신속한 지원자 평가와 인력 선별, 비용 절감을 내세우며 미국은 물론 전 세계 대기업에 빠르게 확산되고 있다.

그러나 이번 사례는 AI 자동화가 도입될수록 ‘관리자 계정, 테스트 데이터, 접근권한 관리’ 등 기본적 보안 체계가 방치되는 경향이 커질 수 있음을 경고한다.

특히 ▲테스트용 백엔드 계정의 방치 ▲ID값 단순 증가(인크리먼트) 방식 ▲다중 인증 부재 등은 기본적 웹 보안 수칙조차 지키지 않은, 구조적 위험의 결과였다.

6,400만건에 이르는 지원자 이름, 이메일, 전화번호, 지원일 등 주요 정보가 노출됐다.

연구원들은 실제로 7건의 기록을 확인했고, 5건에 개인정보가 들어있었으며, WIRED가 무작위로 두 지원자에게 연락한 결과 실제 지원 기록과 일치했다.

이번에 노출된 정보는 금융정보나 사회보장번호(Social Security Number) 등은 아니지만, '맥도날드 채용 지원자'임을 식별할 수 있는 데이터여서 사회공학(피싱) 공격이나 사칭 사기(급여 계좌 유도 등)에 악용될 수 있다는 우려가 높다.

무엇보다 '최저임금 일자리 지원사실'의 유포가 당사자에게 낙인·불이익 등 2차 피해로 이어질 가능성까지 내포한다.
 
Paradox.ai는 “문제의 테스트 계정은 2019년 이후 사용되지 않았고, 외부 해킹 흔적은 발견되지 않았다”고 해명했다. 동시에 즉각적인 버그 바운티(취약점 제보 보상) 프로그램 도입을 약속했다.

맥도날드는 “Paradox.ai의 unacceptable(용납할 수 없는)한 보안 실수”라며 강한 유감을 표명했고, 문제 확인 당일 즉각 수정 조치를 완료했다고 밝혔다.

두 기업 모두, 이번 사태가 ‘실제 피해’로 이어지지는 않았다고 강조했으나, 수년간 방치된 치명적 취약점과 6천만 건 데이터가 노출 가능한 상태였던 점에 대한 근본적 책임론은 피할 수 없게 됐다.
 
AI 채용 혁신이 불러온 ‘감시와 통제’의 역설

AI 챗봇 기반 채용은 비용 효율, 속도, 대량처리의 장점이 있지만, 데이터 축적·자동화 시스템에서 발생하는 ‘보안의 사각지대’는 더욱 치명적 결과를 낳을 수 있다.

글로벌 대기업의 인사 시스템 혁신 경쟁 속에, 외주 개발·운영이 늘면서 ‘검증된 보안 프로세스’ 없이 서비스가 빠르게 도입되는 위험이 커지고 있다.

AI가 채용 절차를 판단하는 구조에서, 개인정보 유출 시 지원자들은 ‘이력서 노출’이라는 사회적 낙인 위험, 피싱 범죄 노출 등 예기치 못한 2차 피해에 직면하게 된다.

AI 자동화와 개인정보 보호의 딜레마가 점점 더 깊어지고 있다.

AI 기반 서비스가 기업의 채용, 인사, 업무자동화 등 다양한 분야에 빠르게 도입되면서, 가장 기본적인 보안 수칙의 중요성이 다시 한 번 강조된다.

플랫폼이 대규모의 민감 정보를 다룰수록 ▲접근 권한 관리 ▲테스트 계정 폐기 ▲데이터 암호화 ▲정기적인 보안점검과 제3자 검증 등이 반드시 지켜져야 한다.

특히, 글로벌 대기업과 스타트업이 협업하는 복잡한 환경에서는 데이터 관리의 법적·도덕적 책임이 불분명해질 수 있어 더욱 각별한 주의가 요구된다.

채용 프로세스의 AI 자동화는 앞으로도 지속될 전망이다. 이에 따라 모든 관리자 계정에 다중 인증(MFA)을 의무화하고, 테스트 계정은 신속하게 폐기해야 한다. 또 AI 서비스 도입 단계에서부터 독립적인 보안 감사가 필수적으로 이뤄져야 한다.

기업이 빠른 혁신과 비용 절감만을 좇는다면, 결국 ‘신뢰의 비용’을 감당하게 된다.

특히, 채용 과정에서 수집되는 데이터는 단순한 정보가 아니라 한 사람의 이력과 꿈이 담긴 소중한 자산임을 명심해야 한다. 데이터는 기업의 소유물이 아니라, 지원자 개인의 권리임을 다시 한 번 인식해야 한다.

AI가 기업 채용의 판도를 바꿔놓고 있지만, 데이터와 신뢰가 무너진다면 그 어떤 기술 혁신도 무의미해진다.

이번 맥도날드-파라독스AI 사태는 'AI 시대의 채용 혁신은 기술이 아닌 신뢰에서 완성된다'는 본질적인 메시지를 다시 한 번 상기시킨다.

[저작권자ⓒ META-X. 무단전재-재배포 금지]