Delve가 악성코드에 감염된 AI 프로젝트인 LiteLLM에 대한 보안 컴플라이언스를 수행

Source: TechCrunch

Overview

이번 주에 오픈소스 프로젝트 LiteLLM에서 심각한 악성코드 감염이 발견되었습니다. LiteLLM은 Y Combinator 졸업생이 만든 프로젝트로, 개발자들에게 수백 개의 AI 모델과 지출 관리와 같은 기능을 손쉽게 제공한다. Snyk에 따르면 LiteLLM은 하루에 340만 번씩 다운로드되며, GitHub에서 4만 개 이상의 스타와 수천 개의 포크를 보유하고 있다.

Malware discovery

악성 코드는 FutureSearch의 연구 과학자 Callum McMahon에 의해 식별·문서화·공개되었다. FutureSearch는 웹 리서치를 위한 AI 에이전트를 구축하는 회사이다. 감염은 LiteLLM이 의존하고 있던 외부 오픈소스 dependency(종속 라이브러리)가 손상되면서 들어왔다. 악성 코드가 실행되면 다음과 같은 행동을 수행한다:

• 호스트 머신에서 로그인 자격 증명을 탈취
• 탈취한 자격 증명을 사용해 추가 오픈소스 패키지와 계정에 접근
• 추가로 전파

McMahon은 LiteLLM을 다운로드한 직후 자신의 머신이 꺼지는 현상을 겪었고, 이를 계기로 조사를 시작했다. 악성 코드 내부의 버그가 시스템 장애를 일으켰으며, 조잡한 구현 때문에 McMahon과 Andrej Karpathy는 해당 코드가 “vibe‑coded”(즉, 즉흥적으로 코딩된)라고 결론지었다.

개발자들은 문제 해결에 밤낮으로 매달렸으며, 프로젝트의 공식 블로그에 따르면 침해는 몇 시간 내에 차단되었다.

Compliance claims

2024년 3월 25일 현재, LiteLLM 웹사이트는 여전히 SOC 2와 ISO 27001 두 가지 주요 보안·컴플라이언스 인증을 스타트업 Delve를 통해 획득했다고 표시하고 있다.

Delve는 Y Combinator 지원을 받은 AI 기반 컴플라이언스 기업으로, 실제 컴플라이언스 상태를 허위로 알리며 조작된 데이터를 생성하고, 단순히 보고서를 도장 찍는 감사인들을 사용했다는 비판을 받고 있다. Delve는 이러한 주장을 부인하고 있다.

Why certifications don’t guarantee safety

인증은 기업이 강력한 보안 정책을 갖추어 이러한 사고 발생 가능성을 낮추었다는 것을 증명하기 위한 것이지만, 자동으로 악성코드 감염을 방지해 주지는 않는다. 예를 들어 SOC 2는 소프트웨어 종속성에 관한 정책을 다루지만, 악성 코드는 여전히 침투할 수 있다.

엔지니어 Gergely Orosz는 X(구 트위터)에서 이 상황을 “농담이 아니다—LiteLLM은 정말로 ‘Delve에 의해 보호됨’(Secured by Delve)했다”고 강조하며 이 미묘한 차이를 지적했다.

Response from LiteLLM

CEO Krrish Dholakia는 Delve 사용에 대한 언급을 거부하고, 대신 복구 작업에 집중하고 있다고 밝혔다. 그는 TechCrunch에 다음과 같이 말했다:

“우리의 현재 최우선 과제는 Mandiant와 함께 진행 중인 적극적인 조사이다. 포렌식 검토가 완료되는 대로 기술적 교훈을 개발자 커뮤니티와 공유할 예정이다.”

이번 사건은 공급망 보안의 중요성과 복잡한 공급망 공격에 대비한 컴플라이언스 인증의 한계를 다시 한 번 강조한다.