AI 시대의 양날의 검: 100억 달러 스타트업 Mercor를 흔든 데이터 유출의 그림자

최근 인공지능 분야는 전례 없는 속도로 성장하며 기술 혁신과 함께 천문학적인 기업 가치를 창출하고 있습니다. 불과 몇 년 전만 해도 상상하기 어려웠던 수십억, 수백억 달러 규모의 밸류에이션을 기록하는 스타트업들이 속속 등장하며 미래 기술을 선도하고 있죠. 하지만 이러한 눈부신 성장 이면에는 우리가 간과하기 쉬운 어두운 그림자, 바로 데이터 보안이라는 거대한 숙제가 도사리고 있습니다. 혁신과 속도에 집중하는 동안, 한순간의 취약점이 모든 것을 무너뜨릴 수 있다는 냉혹한 현실을 AI 데이터 훈련 스타트업 Mercor의 사례가 극명하게 보여주고 있습니다.

하늘을 찌르던 성장, 그리고 갑작스러운 추락

Mercor는 불과 6개월 전, 3억 5천만 달러 규모의 시리즈 C 투자를 유치하며 100억 달러(약 13조 8천억 원)라는 엄청난 기업 가치를 인정받았습니다. AI 모델 훈련을 위한 데이터 구축 분야에서 선두 주자로 우뚝 서며, 업계의 기대를 한몸에 받았던 신성입니다. 특히 Meta가 경쟁사인 Scale AI에 143억 달러를 투자했음에도 불구하고 Mercor와 계속 협력했다는 사실은 그들의 기술력과 시장 내 입지를 짐작게 합니다. 연간 수익 10억 달러를 향해 순항 중이라는 내부 소식이 전해질 정도였으니, 그야말로 승승장구하던 스타트업이었죠.

하지만 이 모든 성공 가도에 붉은 경고등이 켜진 것은 지난 3월 31일, 데이터 유출 사실을 시인하면서부터입니다. 이후 한 해커 그룹은 Mercor 시스템에서 후보자 프로필, 개인 식별 정보(PII), 고용주 데이터, 소스 코드, API 키를 포함한 4테라바이트(TB) 규모의 데이터를 탈취했다고 주장했습니다. 4TB라니, 솔직히 말해서 상상조차 하기 힘든 엄청난 양의 민감 정보입니다. Mercor는 데이터의 진위 여부에 대해서는 명확한 답변을 피하고 있지만, 조사를 진행 중이며 고객 및 협력업체와 직접 소통하겠다고 밝히고 있습니다. 이 한 줄의 짧은 공지 뒤에 얼마나 심각한 파장이 숨어있을지, AI 업계 전체가 숨죽이며 지켜보고 있는 상황입니다.

오픈소스의 편리함, 그 이면에 숨겨진 위험

Mercor의 데이터 유출은 흥미롭게도 그들 자체 시스템의 직접적인 해킹이 아닌, 널리 사용되는 오픈소스 툴 LiteLLM의 취약점을 통해 발생했습니다. LiteLLM은 하루에 수백만 번 다운로드될 정도로 인기가 높은 툴인데, 약 40분 동안 자격 증명 탈취 멀웨어(로그인 정보를 훔치는 악성 소프트웨어)에 감염되어 있었습니다. 이 멀웨어가 훔쳐낸 자격 증명은 더 많은 소프트웨어와 계정에 접근하는 데 사용되었고, 이는 다시 더 많은 자격 증명을 탈취하는 연쇄 반응을 일으켰다는 설명입니다.

이 대목에서 주목할 점은, 현대 소프트웨어 개발에서 오픈소스 툴이 차지하는 비중이 절대적이라는 사실입니다. 개발 속도를 높이고 비용을 절감하는 데 혁혁한 공을 세우지만, 동시에 하나의 취약점이 전방위적인 공급망 공격(Supply Chain Attack)으로 이어질 수 있는 위험을 내포하고 있습니다. Mercor의 사례는 오픈소스 생태계에 대한 맹목적인 신뢰가 얼마나 위험할 수 있는지 경고하는 강력한 메시지인 셈이죠. 빠르게 성장하는 AI 스타트업들이 외부 라이브러리나 툴을 활용할 때, 그에 대한 보안 감사 및 검증 절차를 얼마나 철저히 진행해야 하는지 다시 한번 되묻게 만듭니다.

고객 이탈과 소송, 그리고 또 다른 의혹들

데이터 유출의 여파는 Mercor에게 혹독하게 다가오고 있습니다.

• Meta는 이미 Mercor와의 계약을 무기한 중단했다고 와이어드(Wired)를 통해 알려졌습니다. 이는 Mercor에게 엄청난 타격이 아닐 수 없습니다. AI 모델 학습을 위한 데이터셋은 모델 개발사의 가장 중요한 기업 비밀 중 하나인데, 이러한 민감한 정보를 취급하는 파트너가 보안 사고를 겪었다면 신뢰를 잃는 것은 당연한 결과입니다.
• OpenAI 역시 Mercor 유출 사고에 대한 노출 여부를 조사 중이라고 밝혔지만, 아직 계약을 중단하거나 종료하지는 않았다고 합니다. 하지만 테크크런치에 따르면 다른 대형 모델 개발사들도 Mercor와의 관계를 재고하고 있을 가능성이 높다고 합니다.
• 엎친 데 덮친 격으로, 비즈니스 인사이더(Business Insider) 보도에 따르면 Mercor의 계약직 직원 5명이 개인 데이터 노출을 이유로 소송을 제기했습니다. 이 소송들이 단순한 기회주의적 접근일지, 아니면 Mercor에게 심각한 위협이 될지는 지켜봐야 합니다.

게다가 이 사건은 또 다른 논란으로 번지고 있습니다. 제기된 소송 중 하나는 LiteLLM과 더불어 AI 규제 준수 스타트업 Delve를 피고로 지목했습니다. LiteLLM이 보안 인증을 받기 위해 Delve를 이용했는데, Delve는 익명의 내부 고발자에 의해 보안 인증 데이터를 위조하고 감사자를 형식적으로 이용했다는 의혹을 받고 있습니다. 보안 인증은 해커의 공격을 직접적으로 막지는 못하지만, 기업이 위협을 최소화하기 위한 프로세스를 갖추고 있음을 보증하는 역할을 합니다. 만약 Delve의 의혹이 사실이라면, 이는 보안 인증 시스템 전체에 대한 신뢰를 흔드는 충격적인 사건이 될 것입니다. Delve는 의혹을 부인하면서도 운영상의 변화를 꾀하고 있으며, Y Combinator와의 관계도 단절된 상태입니다. 다행히 Mercor는 Delve의 고객이 아니었지만, 이 사건은 AI 시대에 “보안”이라는 이름표가 얼마나 허술하게 사용될 수 있는지에 대한 경종을 울립니다.

AI 시대, 혁신과 보안의 균형점은?

개인적으로 이 사건은 AI 기술의 폭발적인 발전 속도와 그에 따른 보안 인프라 구축 사이의 간극을 명확히 보여준다고 생각합니다. AI 스타트업들은 투자를 유치하고 시장을 선점하기 위해 ‘빨리 움직이고(move fast)’ ‘장애물을 부수는(break things)’ 데 집중하는 경향이 있습니다. 이는 혁신을 위한 필수적인 요소일 수 있지만, 민감한 데이터를 다루는 경우에는 치명적인 약점이 될 수 있습니다. Mercor의 사례처럼, 아무리 뛰어난 기술력을 가진 스타트업이라 할지라도, 제3자 오픈소스 툴의 취약점이나 외부 공급망의 문제로 인해 한순간에 모든 것을 잃을 수 있다는 사실을 우리는 목격했습니다.

AI 산업은 앞으로도 더 많은 데이터를 처리하고, 더 깊숙이 우리의 삶에 파고들 것입니다. 이 과정에서 데이터의 양뿐만 아니라 그 민감성도 기하급수적으로 증가할 터입니다. AI 모델 학습 데이터는 기업의 핵심 자산이자 경쟁력의 원천이며, 동시에 개인의 프라이버시와 직결되는 민감한 정보입니다. 따라서 AI 시대의 성공은 단순히 기술 혁신에만 달려 있는 것이 아니라, 강력하고 지속 가능한 보안 프레임워크를 구축하는 능력에 달려있다고 해도 과언이 아닙니다.

Mercor는 한때 100억 달러의 가치를 자랑했지만, 이제 그들은 데이터 유출이라는 암초에 부딪혀 거센 파도와 싸워야 하는 상황에 처했습니다. 이들의 위기는 비단 Mercor만의 문제가 아닙니다. AI 산업 전체가 혁신의 속도에 맞춰 보안 의식과 시스템을 업그레이드하지 않는다면, 또 다른 ‘Mercor 사태’는 언제든 발생할 수 있다는 경고등으로 받아들여야 할 것입니다. 이제 AI 기업들은 ‘빨리 움직이는 것’만큼이나 ‘안전하게 움직이는 것’에 집중해야 할 때입니다.

---

출처

• 원문 제목: After data breach, $10B-valued startup Mercor is having a month
• 출처: AI News & Artificial Intelligence | TechCrunch
• 원문 기사 보러가기