위런치 로고
OpenAI, Anthropic, Meta 등 고객을 둔 AI 채용 기업 머코(Mercor), 대규모 정보 유출

Welaunch
Welaunch
·
5시간 전

OpenAI, Anthropic, Meta 등 고객을 둔 AI 채용 기업 머코(Mercor), 대규모 정보 유출

소식발행일
 
관심
6
298
태그
사이트
https://www.mercor.com
구독
좋아요
공유
신청
머코(Mercor), LiteLLM 공급망 공격으로 4TB 데이터 유출 확인 AI 채용 스타트업, 후보자 기록·소스코드·신분증 포함 대규모 유출…“수천 개 기업 동시 피해” AI 기반 채용 및 데이터 라벨링 스타트업 머코(Mercor)가 LiteLLM 공급망 공격에 연루돼 최대 4TB(약 4테라바이트)에 달하는 민감 데이터가 유출된 것으로 확인됐다. 머코는 지난 3일 공식 성명을 통해 “LiteLLM 관련 공급망 공격의 피해자 중 하나”라고 인정하며, 후보자 프로필, 이력서, 인터뷰 기록, 신분증, 소스코드 등이 포함됐을 가능성을 시인했다. 머코는 현재 기업 가치 100억 달러(약 14조 원) 규모로 평가받는 빠르게 성장 중인 AI 채용 기업으로, OpenAI, Anthropic, Meta 등 주요 AI 기업을 고객사로 두고 있다. 이번 유출은 단순한 단일 기업 해킹이 아닌, AI 개발 워크플로우에서 널리 사용되는 LiteLLM을 통해 수천 개 기업에 동시에 영향을 미친 공급망 공격의 일환으로 파악되고 있다. 머코 측에 따르면 공격자들은 LiteLLM 취약점을 이용해 Tailscale VPN 환경에 침투한 뒤 내부 시스템에 광범위하게 접근한 것으로 보인다. 해킹 그룹 LAPSUS$가 먼저 유출 사실을 주장하며 상세한 데이터를 공개한 바 있다. 유출된 데이터는 크게 세 부분으로 나뉜다: - 후보자 데이터: 약 211GB 규모로, 이력서, 경력 정보, 연락처, 인터뷰 녹취·기록, AI 평가 점수 등 포함. 정부 발급 신분증 정보도 일부 포함됐을 가능성이 높다. - 소스코드 및 내부 시스템: 약 939GB 규모로, 후보자 매칭에 사용되는 독자적 AI 모델, 플랫폼 전체 코드, API 키·서비스 토큰 등 인증 정보가 포함됐다. - 스토리지 버킷 데이터: 약 3TB 규모로, 영상 인터뷰, 여권·운전면허증 등 신원 확인 문서, 생체 인식(얼굴·음성) 데이터가 대량으로 저장된 버킷이 노출됐다. 총 유출 규모는 최대 4TB에 달하는 것으로 추정되며, 이는 AI 채용 플랫폼이 다루는 가장 민감한 개인정보와 지적재산이 한꺼번에 유출된 사례다. 머코는 X(트위터)를 통해 “고객과 계약자의 프라이버시와 보안은 우리 사업의 근간”이라며 “보안팀이 즉시 대응해 사고를 격리하고 복구 조치를 취했다. 현재 세계적 수준의 제3자 포렌식 전문가와 함께 철저한 조사를 진행 중이며, 피해를 입은 고객과 계약자에게 직접 연락해 필요한 조치를 취하겠다”고 밝혔다. 이번 사건은 AI 스타트업들이 빠른 개발 속도를 위해 오픈소스 라이브러리와 서드파티 도구에 크게 의존하는 현실을 적나라하게 드러냈다. LiteLLM은 AI 모델 호출을 간소화하는 인기 도구로, 많은 AI 기업의 워크플로우에 필수적으로 사용되고 있다. 하나의 취약점이 수천 개 기업에 동시에 영향을 미칠 수 있는 공급망 공격의 전형적인 사례다. 특히 머코가 OpenAI, Anthropic, Meta 등 거대 AI 기업과 협력하고 있다는 점에서, 이번 유출이 단순한 데이터 유출을 넘어 공급망 전체의 신뢰 문제로 확대될 가능성이 크다. 후보자의 생체 데이터와 경력 정보가 유출될 경우 장기적인 신원 도용·악용 위험이 있으며, 소스코드 유출은 머코의 핵심 AI 기술이 경쟁사나 악의적 해커에게 노출될 수 있는 심각한 지적재산 침해로 이어질 수 있다. LAPSUS$는 랜섬 협상이 결렬된 후 데이터를 판매하거나 공개하겠다는 암시를 한 것으로 알려졌다. 머코는 이에 대한 구체적인 확인은 하지 않았으나, 철저한 조사와 피해 최소화를 약속했다. ▪️ AI 공급망 보안의 취약점 노출 이번 머코 사태는 AI 생태계에서 “보안이 더 이상 부가 기능이 아닌 생존 조건”임을 강력히 일깨워주는 사건이다. 스타트업들이 빠르게 제품을 출시하기 위해 공유 도구와 오픈소스에 의존할수록, 하나의 약한 고리가 전체 공급망을 위협하는 구조가 고착화되고 있다. 투자자와 고객들은 이제 기술력뿐만 아니라 공급망 보안 수준과 의존성 관리 능력을 기업 평가의 핵심 기준으로 삼아야 할 시점이다. AI가 산업 전반으로 확산되는 가운데, 공급망 공격은 더 빈번하고 치명적으로 발생할 가능성이 높다. 머코는 현재 피해 규모 파악과 고객 통지에 총력을 기울이고 있으며, 추가 피해 방지를 위한 시스템 강화 작업을 진행 중이다. 이번 사건이 AI 공급망 전체의 보안 인식을 높이는 계기가 될지 주목된다. Welaunch 김아현 기자 스타트업 뉴스 플랫폼, 위런치 © 2024 Welaunch. All Rights Reserved 보도자료/기고 : editor@welaunch.kr 광고/제휴 문의: we@welaunch.kr
Welaunch
Welaunch
다른소식