최근 AI 리크루팅 시장의 신성으로 떠오른 100억 달러 가치의 스타트업 Mercor가 사이버 공격을 공식 인정했습니다. 이번 사고의 핵심은 수많은 AI 서비스에서 LLM 추상화 계층으로 사용되는 오픈소스 프로젝트 LiteLLM의 공급망 공격(Supply Chain Attack)에서 시작되었습니다.
"Mercor는 LiteLLM 프로젝트의 취약점을 악용한 해킹 그룹 TeamPCP와 Lapsus$의 공격을 받은 수천 개의 기업 중 하나입니다."
1. 사건 개요 및 LiteLLM의 역할
LiteLLM은 다양한 LLM API(OpenAI, Anthropic 등)를 단일한 포맷으로 호출할 수 있게 해주는 Python 기반의 라이브러리입니다. Snyk의 보고에 따르면 이 라이브러리는 일일 수백만 회의 다운로드를 기록할 만큼 AI 개발 생태계에서 핵심적인 위치를 차지하고 있습니다. 공격자들은 이 라이브러리의 배포 과정에 악성 코드를 삽입하여, 이를 의존성(Dependency)으로 사용하는 Mercor와 같은 기업들의 내부 인프라에 접근 권한을 획득한 것으로 파악됩니다.
2. 유출 데이터와 공격 주체
악명 높은 해킹 그룹 Lapsus$는 자신들의 유출 사이트에 Mercor로부터 탈취한 데이터 샘플을 공개했습니다. 여기에는 내부 Slack 데이터, 티켓팅 시스템 데이터, 그리고 AI 시스템과 계약자 간의 대화 내용을 담은 영상 등이 포함되어 있어, 공격자가 단순한 API 키 탈취를 넘어 내부 네트워크 내부까지 침투했음을 시사합니다.
[아키텍트의 분석: 현대 AI 인프라의 아킬레스건]
시니어 아키텍트의 관점에서 이번 사고는 단순히 하나의 라이브러리 취약점 이상의 의미를 가집니다.
첫째, Python 생태계의 공급망 취약성:AI 개발 속도를 높이기 위해 사용하는 수많은 PyPI 패키지들은 상호 의존성이 매우 복잡합니다. LiteLLM과 같은 추상화 라이브러리가 오염될 경우, 이를 사용하는 모든 마이크로서비스는 런타임에서 악성 코드에 노출됩니다. SBOM(Software Bill of Materials) 관리와 SCA(Software Composition Analysis) 도구의 도입이 선택이 아닌 필수임을 보여줍니다.
둘째, Secrets Management의 부재:공격자가 Slack과 티켓 시스템에 접근했다는 것은, 라이브러리 실행 권한을 통해 환경 변수(Environment Variables)나 메모리에 적재된 인증 토큰이 탈취되었을 가능성이 큽니다. 서비스 간 통신에서 Least Privilege(최소 권한 원칙)를 적용하고, 런타임 시 Secrets를 안전하게 주입하는 사이드카 패턴이나 전용 KMS(Key Management Service) 활용이 미흡했을 것으로 판단됩니다.
셋째, AI 파이프라인의 보안 가시성:많은 AI 기업들이 모델 성능 개선에 집중하느라 데이터 파이프라인과 API 게이트웨이단의 보안 모니터링을 간과합니다. 외부 라이브러리가 비정상적인 외부 도메인(C&C 서버)과 통신하는 것을 감지할 수 있는 Egress 트래픽 제어 및 IDS/IPS 전략이 아키텍처 설계 단계부터 통합되어야 합니다.
3. 향후 전망 및 시사점
Mercor는 현재 타사 포렌식 전문가를 동원하여 조사를 진행 중이며, LiteLLM 프로젝트는 악성 코드를 제거하고 보안 컴플라이언스 프로세스를 강화했습니다. 하지만 이미 유출된 데이터와 훼손된 신뢰는 복구하기 어렵습니다. 이번 사건은 AI 기술의 급격한 발전 속도에 보안 아키텍처가 반드시 발맞춰야 함을 경고하는 엄중한 사례입니다.
원문 출처: Mercor says it was hit by cyberattack tied to compromise of open-source LiteLLM project
댓글
댓글 쓰기