AI 채용 스타트업 Mercor, LiteLLM 오픈소스 공급망 공격 연루 보안 사고 확인

기업가치 100억 달러의 AI 채용 스타트업 Mercor가 오픈소스 프로젝트 LiteLLM의 공급망 공격과 연관된 보안 사고를 공식 확인했다. Mercor 측은 자사가 이번 LiteLLM 침해의 영향을 받은 "수천 개 기업 중 하나"라고 밝혔으며, 이 공격은 해킹 그룹 TeamPCP와 연관된 것으로 알려졌다.

이와 별도로 갈취 전문 해킹 그룹 Lapsus$가 Mercor를 표적으로 삼아 데이터에 접근했다고 주장했다. TeamPCP의 사이버공격으로부터 Lapsus$가 어떻게 탈취 데이터를 입수했는지는 현재까지 밝혀지지 않았다.

2023년에 설립된 Mercor는 OpenAI, Anthropic 등과 협력하여 과학자, 의사, 변호사 등 전문 도메인 인력을 계약해 AI 모델 훈련을 지원하고 있다. 인도를 포함한 여러 시장에서 활동하며 하루 200만 달러 이상의 보수를 지급하고 있다.

Mercor는 2025년 10월 Felicis Ventures가 주도한 시리즈 C 라운드에서 3억 5천만 달러를 조달하며 기업가치 100억 달러를 인정받은 바 있다.

Mercor 대변인 Heidi Hagberg는 회사가 보안 사고를 "신속히" 봉쇄하고 복구 조치를 취했다고 확인했다. 그는 "제3자 포렌식 전문가의 지원을 받아 철저한 조사를 진행하고 있다"며 "고객 및 계약자에게 적절히 직접 소통할 것"이라고 밝혔다.

Lapsus$는 자체 유출 사이트에서 Mercor로부터 탈취했다고 주장하는 데이터 샘플을 공유했으며 TechCrunch가 이를 검토했다. 해당 샘플에는 Slack 데이터와 티켓 데이터가 포함되어 있었고, Mercor의 AI 시스템과 플랫폼 계약자 간의 대화를 촬영한 영상 2건도 있었다.

다만 Hagberg는 이번 사건이 Lapsus$의 주장과 연관되어 있는지, 또는 고객이나 계약자의 데이터가 접근·유출·오용되었는지에 대한 후속 질문에는 답변을 거부했다.

LiteLLM 침해는 지난주 Y Combinator 출신 스타트업의 오픈소스 프로젝트 패키지에서 악성 코드가 발견되면서 처음 알려졌다. 악성 코드는 수 시간 내에 제거되었지만, 보안 기업 Snyk에 따르면 이 라이브러리는 하루에 수백만 건 다운로드되는 만큼 피해 규모에 대한 우려가 컸다.

이번 사건으로 LiteLLM은 인증 프로세스를 변경하여 논란의 스타트업 Delve 대신 Vanta를 통해 컴플라이언스 인증을 재취득하기로 했다. 전체적으로 LiteLLM 관련 사고로 영향을 받은 기업의 수와 데이터 노출 여부는 조사가 계속되는 가운데 아직 확인되지 않고 있다.