LiteLLM 공급망 공격으로 Mercor 등 수천 개 기업 데이터 유출
AI 스택에서 오픈소스 미들웨어(LiteLLM 등)의 공급망 보안이 새로운 핵심 위협 벡터로 부상했다. 기업들이 AI 인프라 의존성 검토를 소홀히 하면 큰 피해로 이어질 수 있다.
AI 뉴스를 놓치지 마세요
매주 핵심 AI 소식을 이메일로 받아보세요.
오픈소스 AI 라우팅 라이브러리 LiteLLM이 해킹 그룹 TeamPCP의 공급망 공격(supply chain attack)을 받아 수천 개 기업이 동시에 피해를 입은 것으로 확인됐다. AI 채용 스타트업 Mercor는 2026년 3월 31일 TechCrunch에 피해 사실을 공식 인정했다. 기업가치 100억 달러, 2025년 10월 3억 5,000만 달러 시리즈 C 투자를 받은 Mercor는 OpenAI·Anthropic을 포함한 AI 기업들과 협력해 AI 모델 훈련을 위한 도메인 전문가를 연결하는 서비스를 운영한다. 악명 높은 해킹 집단 **Lapsus$**는 Mercor 데이터를 탈취했다고 주장하며 협박에 나섰다.
LiteLLM 공급망 공격의 구조: 오픈소스 미들웨어 침해
LiteLLM은 GPT-4, Claude, Gemini, Llama 등 다양한 LLM API를 단일 인터페이스로 통합해 호출할 수 있게 해주는 오픈소스 Python 라이브러리다. 수천 개 AI 스타트업과 기업들이 자사 제품의 LLM 백엔드로 LiteLLM을 사용하고 있다. 바로 이 점이 공격자에게 매력적인 표적이 됐다.
TeamPCP는 LiteLLM 프로젝트 자체를 침해해 악성 코드를 주입하거나 의존성을 조작하는 방식으로 하위 사용 기업들에게 동시다발적으로 피해를 입혔다. Mercor는 "수천 개 기업 중 하나"라고 밝혔는데, 이는 공급망 공격의 전형적인 파급 효과를 보여준다.
공급망 공격(supply chain attack)은 최종 표적 기업을 직접 공격하는 대신, 해당 기업이 의존하는 소프트웨어·라이브러리·도구를 침해하는 방식이다. 2020년 SolarWinds 사건이 대표적인 사례로, 하나의 소프트웨어 업데이트로 수천 개 기업과 정부 기관에 피해를 줬다.
| 공격 벡터 | 설명 | LiteLLM 사례 유사성 |
|---|---|---|
| npm 패키지 악성 코드 | 인기 패키지에 악성 코드 삽입 | 유사 (의존성 침해) |
| PyPI 타이포스쿼팅 | 유사한 이름의 악성 패키지 배포 | 가능성 있음 |
| GitHub Actions 침해 | CI/CD 파이프라인 통해 배포 | 조사 중 |
| SolarWinds형 백도어 | 정상 업데이트에 악성 코드 포함 | 유사 구조 |
Mercor의 피해: Lapsus$가 Slack 데이터와 대화 영상 탈취 주장
Mercor는 OpenAI·Anthropic과 협력해 AI 모델 훈련 데이터 생성에 참여할 과학자, 의사, 변호사 등 도메인 전문가를 연결한다. 일일 지급액 200만 달러 이상을 처리하며, 주로 인도 시장을 포함한 글로벌 전문가 네트워크를 운영한다.
Lapsus$는 자신들의 유출 사이트에 Mercor 데이터 침해를 주장하며 샘플 데이터를 공개했다. TechCrunch가 검토한 샘플에는 Slack 데이터 참조, 티켓 데이터, Mercor AI 시스템과 계약자 간 대화를 담은 영상 2개가 포함됐다. 이는 단순한 데이터베이스 탈취를 넘어 내부 커뮤니케이션과 서비스 운영 데이터까지 유출됐음을 시사한다.
Mercor 대변인은 "선도적인 제3자 포렌식 전문가들의 지원을 받아 철저한 조사를 진행 중"이라고 밝혔지만, Lapsus$와의 연관성, 고객/계약자 데이터 유출 여부에 대한 구체적인 답변을 거부했다.
AI 에이전트의 보안 취약점을 다룬 'Agents of Chaos' 보고서에서 지적된 것처럼, AI 인프라의 보안 취약점은 단순한 기술 문제가 아니라 기업의 존립을 위협할 수 있는 리스크다.
LiteLLM 의존 기업들의 긴급 대응: 무엇을 확인해야 하나?
현재 LiteLLM을 사용 중인 기업이라면 즉각적인 확인과 대응이 필요하다. LiteLLM GitHub 프로젝트의 보안 권고(security advisory)를 먼저 확인하고, 사용 중인 버전이 침해된 범위에 포함되는지 점검해야 한다.
기술적으로 확인해야 할 사항들:
- 버전 확인:
pip show litellm으로 설치된 버전 확인, 침해된 버전 범위와 대조 - 네트워크 로그 검토: LiteLLM 관련 프로세스의 비정상적인 외부 연결 여부 확인
- API 키 로테이션: LiteLLM에 설정된 모든 LLM API 키(OpenAI, Anthropic 등) 즉시 교체
- 환경 변수 감사: LiteLLM 설정 파일이나 환경 변수에 저장된 민감 정보 점검
- 패키지 무결성 검증: pip hash 또는 requirements.txt lock 파일로 패키지 무결성 확인
Miasma AI 스크래퍼 포이즌 트랩 도구 소식에서 보듯이, AI 시대의 보안 공격과 방어는 점점 더 정교해지고 있다. LiteLLM 같은 오픈소스 AI 미들웨어 레이어가 새로운 공격 표면(attack surface)이 됐다는 점을 인식해야 한다.
오픈소스 AI 생태계의 공급망 보안 딜레마
LiteLLM은 깃허브 스타 수십만 개를 보유한 인기 프로젝트다. 하지만 이 인기가 역설적으로 공격자들의 표적이 된다. PyPI나 npm의 인기 패키지를 노린 공급망 공격은 2021년 이후 지속적으로 증가하고 있다. 2023년 XZ Utils 사건처럼 오픈소스 핵심 라이브러리에 장기간 백도어가 삽입된 사례도 있었다.
AI 스타트업들이 빠른 개발 속도를 위해 오픈소스 패키지에 의존하는 것은 자연스러운 일이다. 문제는 이 의존성에 대한 보안 검토가 충분히 이뤄지지 않는다는 점이다. 특히 LLM API 키, 고객 데이터, 내부 통신을 처리하는 미들웨어 레이어에서 침해가 발생하면 피해 범위가 극대화된다.
한국 AI 스타트업들도 LangChain, LiteLLM, Haystack 등 오픈소스 AI 프레임워크에 의존하는 경우가 많다. 이번 사건은 의존성 관리와 정기적인 보안 감사의 중요성을 다시 한 번 환기시킨다. 공급망 보안 관련 기사에서 다룬 것처럼, AI 에이전트 인프라에서 보안은 부가 기능이 아닌 필수 요소다.
FAQ
Q1: LiteLLM을 사용 중인데 지금 당장 무엇을 해야 하나요?
A: 즉시 LiteLLM GitHub의 보안 권고를 확인하고, 사용 중인 버전을 최신 보안 패치 버전으로 업데이트하세요. 동시에 LiteLLM에 설정된 모든 LLM API 키를 교체하고, 시스템 로그에서 비정상적인 활동을 점검하는 것이 우선 순위입니다.
Q2: Lapsus$는 누구인가요?
A: Lapsus$는 Microsoft, Nvidia, Samsung, Okta 등 주요 기업들을 공격한 것으로 알려진 해킹·갈취 그룹입니다. 주로 내부자 매수나 소셜 엔지니어링으로 접근 권한을 획득하고 데이터를 탈취한 후 협박합니다.
Q3: Mercor 서비스를 이용한 적이 있다면 어떻게 해야 하나요?
A: Mercor의 공식 커뮤니케이션을 주시하고, 본인의 계정 정보나 민감 데이터가 Mercor에 저장돼 있는지 확인하세요. 이상한 활동이 감지되면 즉시 계정 비밀번호를 변경하고 Mercor에 문의하세요.
Q4: 공급망 공격을 예방하려면 어떻게 해야 하나요?
A: 의존성 버전을 락(lock)해서 관리하고(requirements.txt, poetry.lock 등), 정기적인 취약점 스캔(Dependabot, Snyk 등)을 자동화하세요. 중요 패키지의 업데이트는 바로 적용하지 말고 변경 내역을 검토한 후 적용하는 프로세스를 만드는 것이 좋습니다.
Q5: TeamPCP와 Lapsus$의 관계는 무엇인가요?
A: Mercor 사건에서 공개된 정보에 따르면 TeamPCP가 LiteLLM 공급망을 침해했고, Lapsus$가 그 결과로 탈취된 Mercor 데이터를 소유했다고 주장합니다. 두 그룹 간의 정확한 관계나 협력 구조는 현재 조사 중입니다.
외부 참고 링크
관련 토픽 더 보기
📰 원본 출처
techcrunch.com이 기사는 AI 기술을 활용하여 작성되었으며, 원본 뉴스 소스를 기반으로 분석 및 해설을 추가한 콘텐츠입니다. 정확한 정보 전달을 위해 노력하고 있으나, 원본 기사를 함께 확인하시기를 권장합니다.