AI 시대의 보안, 신뢰는 어디로 가는가: LiteLLM과 Delve 스캔들 심층 분석
Published Mar 30, 2026
단 한 번의 보안 사고가 수백만 명의 사용자에게 미칠 파급력은 상상을 초월합니다. 특히 민감한 AI 모델 접속 정보와 개발자 자격 증명을 다루는 AI 게이트웨이라면 그 중요성은 더욱 커지죠. 지난주, 수많은 개발자가 사용하는 인기 AI 게이트웨이 LiteLLM이 끔찍한 자격 증명 탈취 멀웨어 공격에 희생되었다는 소식은 AI 시대의 보안 취약성을 다시금 각인시켰습니다. 문제는 여기서 그치지 않습니다. 이번 사건의 배후에는 AI 컴플라이언스(규정 준수) 인증을 담당했던 스타트업 Delve의 부실한 운영이 도마 위에 오르면서 업계 전반의 신뢰 시스템에 균열이 가고 있습니다.
LiteLLM은 수백만 명의 개발자가 사용하는 핵심 AI 게이트웨이입니다. 이는 다양한 AI 모델에 접근하고 관리하는 데 필요한 연결 통로 역할을 하며, 그만큼 수많은 API 키, 인증 토큰, 그리고 민감한 사용자 데이터가 오가는 통로라는 의미입니다. 이러한 핵심 인프라가 자격 증명 탈취(credential-stealing) 멀웨어의 표적이 되었다는 것은 단순히 서비스 중단을 넘어 심각한 데이터 유출 및 시스템 통제권 상실로 이어질 수 있는 최악의 시나리오 중 하나입니다. 이번 공격으로 LiteLLM의 오픈소스 버전이 피해를 입었으며, 이는 단순히 기술적인 결함을 넘어 신뢰의 문제로 비화되고 있습니다. 과연 LiteLLM은 모든 보안 절차를 철저히 준수했을까요?
이 질문에 대한 답변은 아이러니하게도 이번 사건의 핵심에 있는 또 다른 스타트업, 바로 Delve에 있습니다. LiteLLM은 사고 이전에 Delve로부터 두 가지 보안 컴플라이언스 인증을 획득한 상태였습니다. 이러한 인증은 기업이 잠재적 사고를 최소화하기 위한 절차를 갖추고 있음을 검증하는 것을 목표로 합니다. 하지만 Delve는 현재 “고객을 오도했다”는 심각한 비난에 직면해 있습니다. 즉, 가짜 데이터를 생성하고 보고서를 고무도장처럼 승인하는 감사인들을 사용하여 실제로는 부실한 컴플라이언스를 허위로 인증했다는 의혹입니다.
겉으로만 번지르르한 ‘보안 인증’의 위험한 단면
Delve의 창업자는 이 모든 의혹을 부인하며 모든 고객에게 무료 재검사 및 감사를 제안했습니다. 하지만 이러한 부인은 익명의 Delve 내부고발자가 주말 동안 Alleged 영수증을 포함한 추가 증거를 공개하면서 더욱 강력한 반박에 부딪혔습니다. 솔직히 말해서, 컴플라이언스(규정 준수)를 전문으로 하는 기업이 스스로 규정을 준수하지 않았다는 의혹을 받는다는 것 자체가 모순이자 충격적인 현실이 아닐 수 없습니다.
개인적으로는 이 부분에서 주목할 점은, AI 시대에 접어들면서 수많은 스타트업과 서비스들이 급증하고 있고, 이들이 기술 혁신에 집중하는 과정에서 ‘신뢰’와 ‘보안’이라는 기본 가치를 외부 기관의 인증에만 의존하려는 경향이 있다는 것입니다. 문제는 그 ‘외부 기관’조차 투명성과 신뢰성을 담보하지 못할 때 발생합니다. 마치 건물 안전 검사를 대충 하고 ‘안전’이라는 딱지를 붙여주는 것과 다를 바 없죠. 이러한 부실 인증은 기업들에게 잘못된 안도감을 제공하여, 실질적인 보안 강화 노력을 소홀히 하게 만들 위험이 있습니다. 결국 피해는 고스란히 최종 사용자들에게 돌아가게 됩니다.
AI 기술의 발전 속도는 놀랍지만, 그만큼 새로운 보안 위협도 빠르게 진화하고 있습니다. 이러한 상황에서 형식적인 인증 절차에만 의존하는 것은 매우 위험한 발상입니다. 특히 AI 게이트웨이처럼 핵심 인프라는 수많은 애플리케이션과 서비스에 연결되기 때문에, 한 곳의 취약점이 전체 생태계의 연쇄적인 붕괴로 이어질 수 있음을 간과해서는 안 됩니다.
AI 시대, 신뢰를 ‘재건’하려는 LiteLLM의 발걸음
끔찍한 한 주를 보낸 LiteLLM은 신속하고 단호한 조치를 취했습니다. 지난 월요일, LiteLLM의 CTO 이샨 재퍼(Ishaan Jaffer)는 X(구 트위터)를 통해 Delve와의 관계를 완전히 끊고 경쟁사인 Vanta를 통해 보안 재인증을 받을 것이며, 자체적이고 독립적인 제3자 감사인을 찾아 컴플라이언스 통제를 검증할 것이라고 발표했습니다. LiteLLM이 “발로 투표(voting with its feet)“했다는 표현은 이들의 결정이 얼마나 단호하고 분명한지를 보여줍니다.
이러한 LiteLLM의 결정은 몇 가지 중요한 시사점을 던져줍니다.
- 신속한 대응과 투명성: 보안 사고 발생 후 문제를 인정하고, 원인 제공 가능성이 있는 파트너와의 관계를 끊고, 명확한 대안을 제시하는 것은 위기 관리의 모범 사례로 볼 수 있습니다. 이는 실추된 신뢰를 회복하려는 강한 의지를 보여줍니다.
- ‘독립성’의 중요성 재확인: LiteLLM이 ‘자체적인 독립 제3자 감사인’을 찾겠다고 한 부분은 매우 중요합니다. 이는 더 이상 특정 컴플라이언스 업체의 명성이나 자체 검증 방식에 의존하지 않고, 외부의 객관적이고 엄격한 시선을 통해 진정한 보안 태세를 구축하겠다는 의지를 반영합니다. 업계 흐름을 보면, 앞으로 AI 관련 보안 및 컴플라이언스 영역에서는 ‘독립성’이 가장 핵심적인 가치로 부상할 가능성이 높습니다. 이해 상충의 여지가 있는 검증은 더 이상 통하지 않는 시대가 오고 있는 것이죠.
- 경쟁 촉진과 표준 강화: LiteLLM의 이번 조치는 Delve와 같은 기존 컴플라이언스 업체들에게 경종을 울리고, Vanta와 같은 경쟁사들에게는 시장 확대의 기회를 제공할 것입니다. 결과적으로는 AI 컴플라이언스 시장 전반의 서비스 품질과 신뢰도 향상을 위한 긍정적인 자극이 될 수 있습니다.
이번 LiteLLM과 Delve를 둘러싼 논란은 AI 기술이 우리 삶의 모든 영역으로 침투하는 현 시대에, 보안과 신뢰가 단순한 부가 기능이 아니라 핵심 인프라의 가장 중요한 요소임을 다시 한번 상기시켜 줍니다. AI 개발자와 기업들은 단순히 기능적 우수성만을 쫓을 것이 아니라, 자신들이 구축하고 사용하는 시스템의 보안 건전성에 대해 끊임없이 질문하고 검증해야 합니다. 형식적인 인증보다는 실질적인 보안 강화 노력, 그리고 투명하고 독립적인 감사 체계의 확립이 바로 AI 시대가 요구하는 새로운 표준일 것입니다. 이 사건이 업계 전반에 걸쳐 더욱 견고한 보안 문화를 구축하는 계기가 되기를 바랍니다.
출처
- 원문 제목: Popular AI gateway startup LiteLLM ditches controversial startup Delve
- 출처: AI News & Artificial Intelligence | TechCrunch
- 원문 기사 보러가기
