오픈AI·구글 학습 비밀 유출 비상: 머코어 해킹, AI 시대 공급망 보안의 민낯

AI 요약

2026년 3월 27일, 데이터 전문 기업 머코어(Mercor)가 오픈소스 생태계의 취약점을 이용한 연쇄 공급망 공격을 받아 해커들이 보안 스캐너 '트리비(Trivy)'를 통해 라이트LLM(LiteLLM) 관리자 자격 증명을 탈취하고 이를 이용해 PyPI에 악성 라이트LLM 패키지를 약 40분간 배포했습니다. 머코어가 관리하던 약 939GB의 플랫폼 소스코드, 211GB의 사용자 데이터베이스, 약 3TB의 영상 인터뷰 녹화 파일 및 신원 확인 서류가 유출될 위기에 처했으며 4만 명 이상의 전현직 계약업체 직원과 고객의 실명·사회보장번호 유출 가능성이 제기되었습니다. 메타는 머코어와의 협력을 즉각 중단했고 오픈AI와 구글은 자체 조사를 시작했으며 이번 사건은 오픈소스와 공급망 보안 강화의 필요성을 강조했습니다.