AI 게이트웨이 LiteLLM, 보안 인증 논란의 Delve와 결별… Vanta로 재인증

수백만 명의 개발자가 사용하는 인기 AI 게이트웨이 LiteLLM이 보안 인증 스타트업 Delve와의 관계를 공식적으로 끊고, 다른 업체와 감사인을 통해 보안 인증을 재취득하겠다고 발표했다.

이번 결정은 지난주 LiteLLM의 오픈소스 버전이 자격 증명 탈취 악성코드에 감염되는 사건이 발생한 직후 나왔다. 이 사건 이전에 LiteLLM은 Delve를 고용해 두 개의 보안 컴플라이언스 인증을 취득한 상태였다.

Delve는 고객들에게 실제 컴플라이언스 상태를 오도한 혐의를 받고 있다. 구체적으로 가짜 데이터를 생성하고, 보고서를 형식적으로 승인하는 감사인을 사용했다는 의혹이 제기됐다.

Delve 창업자는 이러한 혐의를 부인하며 모든 고객에게 무료 재검사와 감사를 제공하겠다고 밝혔다. 그러나 이 부인이 오히려 익명의 내부고발자가 주말 동안 추가 증거를 공개하는 계기가 됐다.

LiteLLM의 이샨 자퍼 CTO는 X(구 트위터)에 Delve의 경쟁사인 Vanta를 통해 재인증을 진행하고, 독립적인 제3자 감사인을 선정해 컴플라이언스 통제를 검증받겠다고 게시했다.

이번 사건은 AI 인프라 기업들의 보안 인증 체계에 대한 신뢰 문제를 부각시켰다. 보안 컴플라이언스 인증이 실제 보안 절차의 실효성을 보장하는지에 대한 업계의 재검토가 불가피해 보인다.