1. Home
  2. 카테고리
  3. 뉴스
  4. 소프트웨어 뉴스
  5. 데이터 유출 사태 겪은 100억 달러 규모 스타트업 Mercor, 힘겨운 한 달 보내는 중
  • S sw_reporter

    데이터 유출 사태 겪은 100억 달러 규모 스타트업 Mercor, 힘겨운 한 달 보내는 중

    S sw_reporter

    article image

    6개월 전만 해도 Mercor는 인공지능(AI) 데이터 학습 스타트업으로서 100억 달러의 기업 가치를 인정받고, 대규모 3억 5천만 달러의 시리즈 C 투자 유치에 성공하며 호황을 누리고 있었습니다. 하지만 지난 3월 31일 데이터 유출 피해 대상임을 시인한 이후, 이 회사는 여러 어려움에 직면했습니다.

    이후 한 해커 그룹은 Mercor 시스템에서 확보한 4테라바이트(TB) 분량의 도난 데이터가 있다며 주장했습니다. 여기에는 후보자 프로필, 개인 식별 정보(PII), 고용주 데이터, 소스 코드, API 키 등이 포함되어 있습니다. Mercor는 데이터의 진위 여부에 대해 논평하지 않았으며, 대신 "현재 조사 중이며, 적절한 경우 고객 및 계약업체와 직접 소통하고, 가능한 한 빨리 문제 해결에 필요한 자원을 투입할 것"이라고 재차 밝혔습니다.

    Mercor는 자체 데이터 유출이 오픈 소스 도구인 LiteLLM 해킹의 결과라고 설명했습니다. 이 도구는 매우 인기가 높아 매일 수백만 건이 다운로드될 정도입니다. 40분 동안 이 도구는 자격 증명 수집 악성 코드(credential harvesting malware), 즉 로그인 정보를 훔칠 수 있는 악성 소프트웨어를 품고 있었습니다. 이 악성 코드는 탈취한 자격 증명으로 더 많은 소프트웨어와 계정에 접근했고, 이를 통해 더 많은 자격 증명을 수집하는 악순환을 일으켰습니다.

    얼마나 많은 데이터가 유출되었는지에 대한 공식적인 확인은 없지만, 이미 파장은 나타나고 있습니다. 소식통에 따르면 Meta는 Mercor와의 계약을 무기한 중단했습니다. (Mercor는 TechCrunch와의 논평 요청을 거절했습니다.)

    Mercor는 다른 계약 AI 데이터 학습 회사들처럼, 모델 제작사들의 핵심 영업 비밀 일부를 다룹니다. 즉, 모델을 훈련하는 데 사용되는 맞춤형 데이터 세트와 프로세스입니다. 이 분야는 회사에게 매우 중요한 요소이기에, Meta가 Mercor의 경쟁사인 Scale AI에 143억 달러를 지출했음에도 불구하고 Mercor와의 협력을 계속 이어왔습니다.

    Mercor에게 좋은 소식일 수도 있습니다(아직 지켜봐야 할 부분입니다). OpenAI 역시 Wired에 Mercor 유출 사건으로 인한 노출 여부를 조사 중임을 확인했으나, 당시 계약을 중단하거나 종료하지는 않았다고 밝혔습니다. 하지만 TechCrunch는 여러 소식통을 통해 다른 주요 모델 제작사들 역시 이번 유출 사태를 계기로 Mercor와의 관계를 재고하고 있을 수 있다는 이야기를 들었습니다. 다만, 현재까지 구체적인 이름을 거론할 만큼의 정보는 확인되지 않았습니다.

    한편, Mercor의 계약업체 다섯 곳은 자신들의 개인 데이터가 노출된 것에 대해 소송을 제기했습니다. (Business Insider 보도) 이러한 소송이 심각한 위협이 될지, 아니면 단순히 기회를 노리는 성가신 문제일지는 두고 봐야 할 문제입니다. (Mercor는 논평 거부.)

    TechCrunch가 검토한 한 소송에서는 심지어 피고로 LiteLLM과 AI 규정 준수 스타트업인 Delve가 거론되었습니다. 이는 다소 과장된 주장일 수 있지만, 연결고리는 명확합니다. LiteLLM은 보안 인증을 받기 위해 Delve를 이용했습니다. 그러나 Delve는 익명의 내부고발자에 의해 보안 인증을 받기 위해 데이터를 위조하고 '도장 찍기' 감사관을 이용했다는 비난을 받아왔습니다.

    보안 인증 자체가 해커의 성공적인 공격을 직접적으로 막지는 못하지만, 기업들이 그러한 위협을 최소화하기 위한 프로세스를 갖추고 있음을 보증하는 목적을 가집니다.

    Delve는 이러한 의혹을 부인하는 동시에 운영상의 변화를 시행했지만, 회사 자체도 큰 어려움을 겪어 Y Combinator가 이 회사와의 관계를 끊기도 했습니다.

    LiteLLM은 Delve와의 관계를 정리하고, 현재는 보안 인증을 받기 위해 다른 AI 규정 준수 스타트업과 협력하고 있습니다. 또한 LiteLLM은 이 보안 사고에 대한 전체 보고서도 발표했습니다.

    하지만 회사 측은 Mercor가 Delve의 고객사는 아니라고 TechCrunch에 확인했습니다. 그럼에도 Mercor에 대한 부정적 파장이 계속된다면 막대한 수익이 위태로울 수 있습니다. 익명을 요구한 소식통에 따르면, 이 회사는 데이터 유출 이전, 이르면 올해 초에 연간 매출 10억 달러를 초과할 예정이었습니다.

    [출처:] https://techcrunch.com/2026/04/09/after-data-breach-10b-valued-startup-mercor-is-having-a-month

    0
로그인 후 답글 작성