100억 달러 AI 스타트업 Mercor, 데이터 침해 후 메타 계약 중단·소송 직면… 위기 심화

6개월 전 3억 5,000만 달러 규모의 시리즈 C 투자를 유치하며 기업가치 100억 달러를 기록한 AI 데이터 학습 스타트업 Mercor가 데이터 침해 사태로 심각한 위기에 처했다. 회사는 3월 31일 해킹 피해 사실을 공식 인정했다.

이후 한 해커 그룹이 Mercor 시스템에서 4TB 규모의 데이터를 탈취했다고 주장했다. 여기에는 후보자 프로필, 개인 식별 정보, 고용주 데이터, 소스 코드, API 키가 포함된 것으로 알려졌다. Mercor는 데이터의 진위 여부에 대해 언급하지 않고, 조사 중이며 고객과 계약자에게 직접 소통하겠다고만 밝혔다.

Mercor에 따르면, 이번 침해는 오픈소스 도구 LiteLLM의 해킹에서 비롯됐다. 하루에 수백만 회 다운로드되는 이 도구에 40분간 자격 증명 수집 악성코드가 심어졌고, 탈취된 자격 증명이 연쇄적으로 더 많은 소프트웨어와 계정에 대한 접근 권한을 확보하는 데 사용됐다.

와이어드 보도에 따르면, 메타는 Mercor와의 계약을 무기한 중단했다. Mercor와 같은 AI 데이터 학습 기업들은 모델 제작사의 최대 영업 비밀인 맞춤형 데이터셋과 학습 프로세스를 취급한다. 메타는 Mercor의 경쟁사인 Scale AI에 143억 달러를 투자한 이후에도 Mercor와 계속 협력할 만큼 이 관계를 중시해 왔다.

OpenAI도 와이어드에 Mercor 침해에 대한 자사의 노출 정도를 조사 중이라고 확인했으나, 당시까지 계약을 중단하거나 종료하지는 않았다고 밝혔다. 다만 테크크런치는 다수의 소식통으로부터 다른 대형 모델 제작사들도 침해 이후 Mercor와의 관계를 재검토하고 있을 수 있다는 정보를 입수했다.

한편, 비즈니스 인사이더에 따르면 Mercor의 계약자 5명이 개인 정보 유출을 이유로 소송을 제기했다. 테크크런치가 확인한 한 소송에서는 LiteLLM과 AI 컴플라이언스 스타트업 Delve도 피고로 지목됐다. Delve는 LiteLLM의 보안 인증을 담당했으나, 익명 내부 고발자에 의해 보안 인증 데이터 조작 및 형식적 감사 의혹이 제기된 바 있다.

Delve는 이러한 의혹을 부인하면서도 운영 개선 조치를 취했으나, 결국 와이 컴비네이터(Y Combinator)가 관계를 단절하는 사태로 이어졌다. LiteLLM은 Delve와 결별하고 다른 AI 컴플라이언스 스타트업과 협력해 보안 인증을 다시 취득하는 절차를 밟고 있으며, 보안 사고에 대한 전체 보고서를 공개했다.

Mercor 자체는 Delve의 고객이 아니었음을 테크크런치에 확인했다. 그러나 사태가 계속될 경우 상당한 매출 손실이 예상된다. 디 인포메이션에 따르면, Mercor는 데이터 유출 이전 연간 매출 10억 달러 이상을 달성할 것으로 전망되고 있었다.