46분 만에 4TB가 털렸다: AI 인력 스타트업 머코어 해킹 당해

레이 | 디지털 저널리스트 | awesome.ai.life@gmail.com | 2026년 4월 6일

2026년 3월 27일, 46분이 전부였다.

파이썬(Python) 패키지 저장소인 파이피아이(PyPI)에 악성 코드가 숨겨진 리트LLM(LiteLLM) 버전 두 개가 올라왔다 내려갔다. 노출 시간은 46분. 그 사이 악성 패키지는 46,996회 다운로드됐다. 분당 약 1,021회다. 다운로드한 이들 대부분은 자신이 무엇을 받았는지 몰랐다. 코드는 임포트(import)하지 않아도 파이썬 프로세스가 시작되는 순간 조용히 실행됐다. 아마존 웹서비스(AWS), 구글 클라우드(GCP)의 자격 증명, SSH 키, 쿠버네티스(Kubernetes) 시크릿, 슬랙(Slack) 토큰이 빠져나갔다.

그 수천 개의 피해 기업 중 하나가 머코어(Mercor)다. 오픈AI와 앤트로픽의 AI 모델을 훈련시키는 인력을 공급하는 기업. 기업가치 100억 달러(약 13조 5,000억 원)짜리 스타트업. 이 회사의 내부 데이터 4테라바이트(TB)가 랩서스$(Lapsus$)라는 갈취 그룹의 손에 넘어가 다크웹 경매에 올라갔다.

이것이 단순한 해킹 사건으로 읽히는 사람이라면, 한 겹 더 들어갈 필요가 있다.

머코어는 어떤 회사인가

머코어는 이미 이 지면에서 다룬 적이 있다. 2023년 샌프란시스코 벨라르미나 고교 출신 동창 세 명, 최고경영자 브랜든 푸디(Brendan Foody), 최고기술책임자 아다르쉬 히어매스(Adarsh Hiremath), 최고운영책임자 수리야 미다(Surya Midha)가 창업했다. 세 명은 피터 틸(Peter Thiel) 펠로십을 받아 대학을 중퇴했다. 틸 펠로십은 대학 포기를 조건으로 1인당 10만 달러를 지원하는 프로그램이다. 시드 투자는 제너럴 캐탈리스트(General Catalyst)가 360만 달러를 주도했다.

사업 모델은 단순하면서도 AI 생태계의 핵심을 건드린다. 의사, 변호사, 은행가, 기자 같은 전문직 계약자를 모집해 오픈AI, 앤트로픽 같은 AI 개발사에 공급한다. 이 계약자들은 AI 모델의 출력물을 검토하고 평가하고 교정한다. 인간 피드백 기반 강화학습(RLHF, Reinforcement Learning from Human Feedback)의 원료를 만드는 사람들이다. 2025년 10월 기준 머코어가 관리하는 계약자는 3만 명이다.

같은 달 펠리시스 벤처스(Felicis Ventures) 주도의 시리즈 C에서 3억 5,000만 달러를 조달하며 기업가치 100억 달러를 인정받았다. 세 창업자는 22세에 포브스(Forbes) 2026 억만장자 명단에 나란히 이름을 올렸다. 각자의 자산 규모는 약 22억 달러(약 3조 원)다. 마크 저커버그가 23세에 처음 억만장자가 됐던 기록을 경신했다.

파이썬 생태계를 노린 교묘한 공격

사건의 출발점은 머코어가 아니다. 더 위쪽, 오픈소스 공급망이다.

리트LLM은 개발자들이 오픈AI, 앤트로픽, 구글 등 100개 이상의 AI 서비스 API를 단일 인터페이스로 호출할 수 있게 해주는 파이썬 라이브러리다. 보안 기업 위즈(Wiz)의 조사에 따르면 전체 클라우드 환경의 약 36%에 설치되어 있으며, 하루 300만 회 이상 다운로드된다. AI 개발 생태계에서 사실상 표준 인프라로 자리 잡은 도구다.

팀PCP(TeamPCP)라는 해킹 그룹은 이 라이브러리를 직접 공격하는 대신 한 단계 위를 쳤다. 보안 취약점 스캐너인 트리비(Trivy)를 먼저 공략해 리트LLM 메인테이너의 자격 증명을 탈취했다. 메인테이너 권한을 손에 넣자 파이피아이 공식 저장소에 악성 코드가 삽입된 버전 1.82.7과 1.82.8을 게시했다.

이 두 버전에는 .pth 악성 파일이 포함되어 있었다. .pth 파일은 파이썬이 인터프리터를 시작할 때 자동으로 실행한다. 개발자가 해당 라이브러리를 코드에서 직접 사용하지 않아도 심지어 pip install 명령만 실행해도 악성 코드는 이미 돌아가고 있었다. 데이터 분석가 다니엘 니크(Daniel Hnyk)가 빅쿼리(BigQuery) 파이피아이 데이터셋으로 분석한 결과, 46분 노출 시간 동안 악성 버전은 46,996회 다운로드됐다. 리트LLM에 의존성을 가진 파이피아이 패키지 2,337개 중 88%는 버전을 고정하지 않아 자동 업데이트 과정에서 악성 버전을 끌어당겼다.

탈취 대상은 포괄적이었다. AWS, 구글 클라우드, 마이크로소프트 애저(Azure) 자격 증명, SSH 키, 쿠버네티스 시크릿, .env 파일, 슬랙-디스코드(Discord) 토큰, 셸 히스토리, 암호화폐 지갑 설정까지. AI 개발 환경이 관리하는 민감한 자산 목록과 정확히 겹친다.

머코어가 뚫린 경위

머코어는 리트LLM을 CI/CD(지속적 통합/배포) 보안 스캐닝 워크플로우에서 사용하고 있었다. 악성 버전이 배포된 시간대에 시스템이 자동으로 업데이트를 당겼다. 위즈에 따르면 팀PCP는 탈취한 자격 증명을 즉시 검증하고 피해 환경 내부로 수평 이동을 시작했다. 머코어의 내부 네트워크, 소스 코드 저장소, 클라우드 스토리지가 차례로 열렸다.

이후 무대에 올라선 것이 랩서스$다. 위즈 연구팀은 팀PCP가 탈취한 데이터와 접근 권한을 현금화하기 위해 랩서스$ 같은 전문 갈취 그룹과 협력했을 가능성을 제기했다. 두 그룹의 공식 협력 관계는 아직 독립적으로 확인되지 않았다.

랩서스$는 자신들의 유출 사이트에 머코어를 피해 기업으로 등록하고 4TB 분량의 데이터를 경매에 올렸다. 시큐리티위크(SecurityWeek)가 확인한 경매 목록에는 다음이 포함됐다. 계약자 및 지원자 프로필, 개인식별정보(PII), 고용주 계약 데이터, 계정 자격 증명, 소스 코드 저장소, 내부 데이터베이스, API 키와 시크릿 토큰, 테일스케일(Tailscale) VPN 데이터, 그리고 AI 시스템과 계약자 간 모델 검증 영상 3TB. 이 영상들은 머코어 플랫폼의 핵심 운영 자산이다.

4TB 유출 주장의 진위와 정확한 규모는 아직 독립적으로 검증되지 않았다.

머코어의 공식 대응

머코어 대변인 하이디 해그버그(Heidi Hagberg)는 테크크런치(TechCrunch)에 보낸 성명에서 "당사는 최근 리트LLM 관련 공급망 공격의 영향을 받은 수천 개 기업 중 하나임을 확인했다"고 밝혔다. 사고 인지 즉시 시스템을 격리하고 취약점을 조치했으며 제3자 포렌식 전문가들과 공동 조사를 진행 중이라는 설명도 덧붙였다.

그러나 해그버그는 랩서스$의 4TB 주장이 사실인지, 고객 및 계약자 데이터가 실제로 유출, 오용됐는지에 대해서는 명확한 답변을 내놓지 않았다. 더 레코드(The Record)에 따르면 머코어는 피해를 입은 고객 및 계약자들과 직접 소통할 방침이라고 밝혔다.

머코어는 이번 공급망 공격의 피해를 공개적으로 인정한 첫 번째 기업이다. 뱅크인포시큐리티(BankInfoSecurity)가 지적했듯, 이것은 시작일 가능성이 높다. 구글 산하 맨디언트(Mandiant)의 최고기술책임자 찰스 카마칼(Charles Carmakal)은 RSA 컨퍼런스에서 리트LLM 연쇄 피해로 인해 "1,000개 이상의 SaaS 환경이 현재 진행형으로 대응 중"이라고 밝혔다. 위협 분석 그룹 뷔엑스-언더그라운드(vx-underground)는 탈취된 데이터와 시크릿이 50만 대 이상의 머신에서 유출됐을 것으로 추정한다.

이것이 단순한 해킹이 아닌 이유

46분. 이 숫자가 불편한 이유는 짧기 때문이 아니다. 충분했기 때문이다.

AI 산업은 지금 세 겹의 의존 구조 위에 서 있다. 오픈AI와 앤트로픽 같은 모델 개발사는 고품질 훈련 데이터를 위해 머코어 같은 인력 공급 플랫폼에 의존한다. 머코어는 빠른 개발을 위해 리트LLM 같은 오픈소스 라이브러리에 의존한다. 리트LLM은 트리비 같은 보안 도구를 통해 메인테이너 자격 증명을 관리했다. 이 세 겹의 연결 고리 어디 하나가 끊어지면, 파장은 모든 방향으로 전파된다. 이것이 공급망 공격(Supply Chain Attack)의 논리다.

오픈소스를 사용한 것 자체는 문제가 아니다. 구글도, 앤트로픽도, 오픈AI도 오픈소스 생태계 위에 서 있다. 그리고 버전을 고정하지 않은 것도 머코어만의 실수가 아니다. 리트LLM 의존 패키지 2,337개 중 88%가 같은 상태였다. 이것은 개별 기업의 부주의가 아니라 AI 스타트업 생태계 전반의 관행이었다.

왜 그랬을까. 인센티브 구조가 그렇게 설계되어 있기 때문이다. 투자자는 성장 속도를 보고 돈을 넣는다. 팀은 작고 마감은 빠르다. 보안 감사보다 기능 출시가 먼저다. 버전 고정은 귀찮고 자동 업데이트는 편리하다. 100억 달러짜리 기업도 그 인센티브에서 자유롭지 않았다는 것이 이번 사태가 확인해준 사실이다. 그리고 4TB의 계약자 데이터, API 키, 내부 영상은 지금 랩서스$의 경매 목록 위에 올라가 있다. 누가 그 비용을 지불하는지는 이미 분명하다.

46분. 다음 46분은 어느 회사에서 시작될지 모른다. / raylogue