LiteLLM 오픈소스 공급망 공격으로 AI 스타트업 Mercor가 해킹당하다

무슨 일이 있었나요?

AI 채용 스타트업 Mercor가 사이버 공격을 당했는데요, 흥미로운 건 공격 경로예요. Mercor의 시스템을 직접 뚫은 게 아니라, Mercor가 사용하던 오픈소스 프로젝트인 LiteLLM이 먼저 침해(compromise)된 거예요. 쉽게 말하면, 내 집 보안은 철저했는데 내가 쓰던 택배 서비스가 해킹당해서 그 경로로 도둑이 들어온 셈이죠.

LiteLLM은 여러 LLM(대규모 언어 모델) API를 하나의 통합된 인터페이스로 사용할 수 있게 해주는 프록시 도구예요. OpenAI, Anthropic, Google 등 다양한 AI 모델 API를 같은 코드로 호출할 수 있게 해주는 건데, AI 애플리케이션을 개발하는 회사들 사이에서 꽤 널리 쓰이고 있어요. 이 LiteLLM 프로젝트가 어떤 형태로든 침해되면서, 이를 의존성으로 쓰고 있던 Mercor까지 영향을 받은 거예요.

공급망 공격이란?

이런 유형의 공격을 소프트웨어 공급망 공격(Software Supply Chain Attack)이라고 해요. 이게 뭐냐면, 소프트웨어를 만들 때 우리는 수많은 외부 라이브러리와 도구를 가져다 쓰잖아요? npm, pip, Maven 같은 패키지 매니저를 통해서요. 이 "공급망"의 어딘가를 공격해서, 그걸 쓰는 모든 사람에게 영향을 미치는 거예요.

기억나는 분들도 있겠지만, 2020년의 SolarWinds 사건이 대표적인 공급망 공격이었어요. IT 관리 도구에 백도어가 심어져서 미국 정부 기관을 포함한 수천 개 조직이 영향을 받았죠. 2024년에는 xz utils 사건도 있었는데, 리눅스의 핵심 압축 라이브러리에 백도어가 삽입될 뻔한 사건이었어요. 이번 LiteLLM 사건은 이런 공급망 공격이 AI 도구 생태계에서도 현실적인 위협이라는 걸 보여주는 사례예요.

왜 AI 도구 생태계가 특히 위험한가요?

AI 관련 오픈소스 도구들은 지금 폭발적으로 성장하고 있는데, 보안 관행은 그 속도를 따라가지 못하고 있어요. 몇 가지 이유가 있는데요.

첫째, AI 도구들은 보통 API 키를 다루어요. LLM 호출을 위한 API 키, 데이터베이스 접근 키 등 민감한 크리덴셜(자격 증명)이 오고 가는 중간 지점에 있는 경우가 많거든요. LiteLLM 같은 프록시 도구가 침해되면 여기를 지나가는 모든 API 키가 노출될 수 있어요.

둘째, 빠르게 움직이려는 스타트업 문화가 보안 검토를 생략하게 만들기도 해요. "일단 돌아가게 하자"는 압박 속에서 의존성의 보안 상태를 꼼꼼히 살피기 어려운 현실이 있죠.

셋째, AI 관련 패키지들은 상대적으로 새롭고, 전통적인 보안 도구들의 감시망에 아직 충분히 들어와 있지 않은 경우가 많아요.