단일 오픈 소스 도구에 대한 정교한 공급망 공격으로 AI 부문의 시스템적 리스크가 드러났으며, 100억 달러 가치의 채용 스타트업과 OpenAI, Anthropic을 포함한 고객사들이 수 테라바이트 규모의 데이터 유출을 수습하기 위해 고군분투하고 있습니다.
뒤로
뒤로
공급망 공격으로 인한 데이터 유출로 Mercor의 100억 달러 가치 위기
AI 채용 스타트업 Mercor에 대한 사이버 공격으로 OpenAI, Anthropic, Meta 등 고객사의 민감한 데이터가 유출되었으며, 이는 급성장하는 인공지능 산업을 뒷받침하는 소프트웨어 공급망의 심각한 취약성을 드러냈습니다. Mercor가 수요일에 확인한 이번 침해는 수천 개의 기업이 거대 언어 모델(LLM)을 연결하는 데 사용하는 인기 오픈 소스 도구인 LiteLLM에 심어진 악성 코드에서 시작되었습니다. 이번 사건으로 Mercor의 100억 달러 기업 가치는 압박을 받게 되었으며, AI 개발 생태계 전체의 보안에 대한 의문이 제기되고 있습니다.
Mercor 대변인 Heidi Hagberg는 Fortune에 보낸 성명에서 "고객과 계약자의 개인정보 보호 및 보안은 Mercor가 하는 모든 일의 근간"이라고 밝혔습니다. Hagberg는 회사가 LiteLLM 보안 침해의 영향을 받은 "수천 개 업체" 중 하나임을 확인했으며, 유출을 억제하기 위해 신속하게 조치한 후 제3자 포렌식 전문가를 고용하여 침해 사고를 조사하고 있다고 덧붙였습니다.
보안 업체 Snyk에 따르면 이번 공격은 해킹 그룹 TeamPCP가 3월 27일 LiteLLM 파이썬 패키지의 두 버전에 자격 증명 탈취용 악성코드를 주입하면서 시작되었습니다. 악성 패키지는 몇 시간 내에 PyPI 저장소에서 제거되었지만, 광범위한 피해를 입히기에는 충분한 시간이었습니다. 이후 악명 높은 갈취 조직인 Lapsus$는 자신들의 유출 사이트에 4테라바이트 이상의 데이터를 탈취했다고 게시하며 Mercor 침해 사고가 자신들의 소행이라고 주장했습니다. 도난당한 데이터에는 소스 코드, 데이터베이스 기록, Slack 통신 및 플랫폼 상호 작용 비디오 녹화본이 포함된 것으로 알려졌습니다. 공급망 공격으로 알려진 TeamPCP가 갈취 중심의 Lapsus$ 그룹과 협력했는지 여부는 불분명하지만, 보안 연구소 Wiz의 연구원들은 이러한 그룹들 사이의 "위험한 수렴"에 주목했습니다.
이번 침해는 전문 분야 전문가를 모델 학습을 위한 고품질 데이터가 필요한 AI 기업과 연결해 주는 Mercor 비즈니스의 핵심을 타격했습니다. 2023년에 설립된 이 스타트업은 매일 200만 달러 이상의 지급을 처리하며 급성장했으며, 2025년 10월 Felicis Ventures가 주도한 시리즈 C 펀딩 라운드에서 3억 5,000만 달러를 확보했습니다. 시스템 침해로 인해 OpenAI 및 Anthropic과 같은 업계 리더를 포함한 파트너사의 독점 데이터와 계약자의 개인 및 금융 정보가 노출될 수 있습니다.
AI 공급망의 시스템적 리스크
Mercor 사건은 단일 구성 요소의 침해가 산업 전체에 연쇄적인 실패를 일으킬 수 있는 공급망 공격의 극명한 사례입니다. 공격의 중심에 있는 오픈 소스 라이브러리 LiteLLM은 클라우드 환경의 약 36%가 AI 운영을 간소화하는 데 사용하는 것으로 추정됩니다. 이번 유출은 빠르게 움직이는 AI 산업이 소수의 집중된 오픈 소스 도구에 얼마나 의존하게 되었는지를 보여주며, 대규모로 악용될 수 있는 단일 장애점(Single Point of Failure)을 형성했음을 시사합니다.
투자자들에게 이번 공격은 고성장 기술 기업에 내재된 운영 리스크를 상기시키는 중요한 계기가 됩니다. Mercor의 100억 달러 가치는 AI 경제에서의 핵심적 역할에 기반을 두고 있었지만, 바로 그 지위 때문에 고부가가치 타겟이 되었고 시스템적 위협에 노출되었습니다. 이번 여파로 고객과 규제 기관의 조사가 강화되어 Mercor의 성장 궤도가 둔화될 가능성이 있습니다. 또한 이번 사건은 업계 전반에 걸쳐 오픈 소스 소프트웨어 보안에 대한 재평가를 강요할 것이며, 기업들이 보다 강력한 공급업체 리스크 관리 및 종속성 스캔에 투자하게 함으로써 운영 비용 증가와 개발 주기 연장을 초래할 수 있습니다. 결과적으로 Snyk 및 Checkmarx와 같이 소프트웨어 공급망 보안을 전문으로 하는 사이버 보안 기업의 주가에 대한 관심이 높아질 수 있습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
[1] AI 채용 플랫폼 Mercor, 침해된 오픈 소스 도구를 통한 공급망 사이버 공격의 표적이 됨 - MLQ.ai[2] 100억 달러 가치의 AI 스타트업 Mercor, 주요 보안 사고 연루 확인 - Fortune[3] OpenAI 및 Anthropic과 협력하는 100억 달러 가치의 AI 스타트업 Mercor, 대규모 데이터 유출 확인[4] 오늘의 기술주: 테슬라 하락 속 기술주 반등, AI 산업 유출로 사이버 보안 리스크 부각[5] Mercor, LiteLLM 공급망 공격으로 타격 - SecurityWeek[6] TeamPCP, 탈취한 공급망 기밀 활용 방법 탐색[7] TeamPCP, 최신 PyPI 소프트웨어 공급망 공격에서 Telnyx 패키지 표적