오픈소스 하나가 뚫리자 AI 제국 전체가 흔들린 이야기
3월 24일 오전 10시 39분.
파이썬 패키지 저장소에 평범한 업데이트가 하나 올라왔다. 버전 번호가 살짝 올라간 것뿐이었다. 40분 뒤 삭제됐다.
그 40분이 모든 걸 바꿨다.
이 패키지의 이름은 LiteLLM이다. 개발자들이 여러 AI 서비스를 하나로 묶어 쓸 때 사용하는 도구다. 한 달에 거의 1억 번 다운로드된다. 전 세계 클라우드 환경의 3분의 1 이상이 이 도구를 쓴다.
쉽게 비유하면 멀티탭이다. 오픈AI, 구글, 앤트로픽 같은 AI 서비스들을 하나의 전원 코드에 꽂아 쓸 수 있게 해주는 도구. 편리하다. 하지만 그 멀티탭이 감전되면? 꽂혀 있는 모든 기기가 위험해진다.
누군가 이 멀티탭의 제조 공정에 침투했다. 공식 채널을 통해 악성 코드를 배포했다. 마치 수돗물에 독을 타는 것처럼, 정상적인 배관을 통해 퍼졌다. 수상한 냄새도 없었고, 색깔도 달라지지 않았다.
이 공격은 아이러니하게도 보안 도구에서 시작됐다.
Trivy라는 보안 스캐너가 있다. 소프트웨어의 취약점을 찾아주는 도구다. 사람으로 치면 경비원이다. 해커 그룹 TeamPCP는 이 경비원의 열쇠를 먼저 훔쳤다.
경비원의 열쇠로 건물 관리실에 들어갔다. 관리실에서 전체 빌딩의 마스터키를 복사했다. 그리고 빌딩에 입주한 세입자들의 금고까지 열 수 있게 됐다.
기술적으로 말하면, Trivy CI 워크플로우의 설정 오류를 이용해 인증 토큰을 탈취했다. 이 토큰으로 LiteLLM의 빌드 시스템 관리자 권한을 얻었다. 그리고 공식 배포 채널을 통해 악성 패키지를 올렸다.
악성 코드는 세 단계로 작동했다.
첫 번째, 수확. 환경 변수, API 키, 클라우드 비밀번호, SSH 키를 긁어모았다. LiteLLM이 여러 AI 서비스를 연결하는 도구이기 때문에, 이 하나를 뚫으면 조직이 사용하는 모든 AI 서비스의 열쇠를 한 번에 가져갈 수 있었다.
두 번째, 이동. 서버 내부를 횡으로 이동하며 더 깊은 곳으로 파고들었다. AI 추론 서버, 학습 파이프라인, 데이터 저장소까지 접근 경로가 열렸다.
세 번째, 뒷문. 영구적인 원격 접속 채널을 만들어 놓았다. 언제든 다시 들어올 수 있도록.
특히 기술적으로 교묘했던 점이 있다. 공격에 사용된 파일은 .pth라는 확장자를 가지고 있었다. 이 파일은 파이썬이 실행될 때 자동으로 함께 실행된다. 별도의 명령어가 필요 없다. 그냥 파이썬이 켜지면 작동한다. 대부분의 보안 도구가 이 파일 형식을 검사하지 않는다. 사각지대를 정확히 파고든 것이다.
이 뒷문을 통해 가장 크게 다친 곳이 머코어라는 스타트업이었다.
머코어(Mercor). 2023년에 설립돼 2년 만에 기업 가치 15조 원을 달성한 AI 데이터 전문 업체다. 연 매출 7,500억 원. 6개월 전만 해도 매출이 1,500억 원이었으니, 5배 성장이다. AI 시대의 총아였다.
이 회사가 하는 일은 단순히 데이터를 가공하는 것이 아니었다. 메타, 오픈AI, 앤트로픽, 구글 같은 세계 최고의 AI 기업들이 자사 모델을 학습시킬 때, 어떤 데이터를 쓸지, 어떤 기준으로 라벨을 붙일지, 어떤 전략으로 가르칠지 — 이 핵심 과정에 머코어가 관여하고 있었다.
비유하자면, 미슐랭 3스타 레스토랑 여러 곳의 비밀 레시피를 한 곳의 식재료 업체가 동시에 알고 있는 상황이었다.
해커들이 가져간 건 약 4테라바이트. 고화질 영화 1,000편에 해당하는 분량이다.
플랫폼 소스코드 939기가바이트. 사용자 데이터베이스 211기가바이트. 그리고 화상 면접 녹화 파일과 신원 확인 서류가 약 3테라바이트. 이 데이터는 다크웹 경매에 올라갔다.
해커 그룹 Lapsus$가 다크웹에서 이 데이터를 경매에 부쳤다. 4만 명 이상의 계약업체 직원과 고객의 개인정보가 포함돼 있었다. 4월 1일, 캘리포니아 북부 지방법원에 집단소송이 제기됐다.
하지만 개인정보보다 더 심각한 문제가 있었다.
머코어는 여러 AI 기업의 학습 파이프라인에 동시에 접근할 수 있는 위치에 있었다. 어떤 데이터를 골라 쓰는지, 어떤 기준으로 라벨을 붙이는지, 어떤 전략으로 학습하는지. 수년간 수십억 달러를 투자해 만든 노하우가 고스란히 노출됐을 가능성이 생긴 것이다.
메타는 곧바로 머코어와의 15조 원 규모 협력을 중단했다. 메타가 바로 직전 달에 40조 원 규모의 AI 인프라 투자를 발표한 직후였다. 그 투자로 만들어질 AI의 학습 방법론이 유출됐을 수 있다는 판단이, 운영 비용보다 무거웠던 것이다.
오픈AI는 조사에 착수했지만 현재 프로젝트를 중단하지는 않았다고 밝혔다.
이 사건의 구조를 가만히 들여다보면 소름이 돋는다.
보안 도구 → 개발 도구 → 사업 파트너 → 빅테크 AI.
공격자는 먼저 보안 스캐너를 뚫었다. 보안을 지키는 파수꾼을 먼저 무력화한 것이다. 그 파수꾼의 열쇠로 개발 도구에 들어갔다. 개발 도구를 통해 사업 파트너에 침투했다. 파트너를 통해 최종 목표인 빅테크의 AI 심장부에 도달했다.
하나의 설정 오류에서 시작된 실타래가, 글로벌 AI 기업들의 가장 민감한 자산까지 이어졌다. 2020년 SolarWinds 사건과 구조가 똑같다. 다만 이번에는 오픈소스 생태계가 무대였고, AI 인프라가 표적이었다.
우리는 AI의 보안을 생각할 때 모델을 먼저 떠올린다. 프롬프트 주입. 모델 탈옥. 환각. 이런 것들이 뉴스에 자주 등장한다.
하지만 이번 사건은 완전히 다른 곳을 가리킨다.
모델이 아니라, 모델을 만드는 과정이 무너졌다. 코드를 배포하는 파이프라인이, 데이터를 가공하는 파트너가, 개발자가 매일 설치하는 오픈소스 라이브러리가. 이 모든 것이 AI의 보안 경계선이었다.
AI 시대의 보안은 성의 벽을 높이 쌓는 것이 아니다. 성을 짓는 벽돌 하나하나가 진짜인지 확인하는 것이다. 그리고 그 확인에 실패했을 때, 40분이면 충분하다.
그 40분의 틈이 15조 원의 대가를 만들었다.