오픈AI·구글 학습 비밀 유출 비상: 머코어 해킹, AI 시대 공급망 보안의 민낯

AI 요약

2026년 3월 27일, 데이터 전문 기업 머코어가 오픈소스 생태계의 취약점을 이용한 연쇄 공급망 공격을 받아 해커들이 보안 스캐너 트리비(Trivy)를 통해 라이트LLM(LiteLLM) 관리자의 자격 증명을 탈취하고 파이썬 패키지 저장소(PyPI)에 악성 버전을 약 40분간 배포했습니다. 머코어는 오픈AI, 앤스로픽(Anthropic), 구글 등과 협력하며 약 939GB의 플랫폼 소스코드, 211GB의 사용자 데이터베이스, 약 3TB의 영상 인터뷰 녹화 파일 및 신원 확인 서류를 관리했으며 4만 명 이상의 전현직 계약업체 직원과 고객의 실명 및 사회보장번호가 유출되었을 가능성이 제기되었습니다. 메타는 협력을 중단했고 오픈AI와 구글은 조사에 착수했으며, 기사에서는 제로 트러스트·강력한 암호화·오픈소스 코드 검증·PyPI의 다단계 인증 강화·클라우드 협력·국제 규제 강화 등 보안 강화 조치가 필요하다고 지적했습니다.