Mercor는 오픈소스 LiteLLM 프로젝트와 연관된 사이버 공격에 의해 타격을 받았다고 말한다

Source: TechCrunch

Incident Overview

• Mercor는 최근 LiteLLM이 타협된 사건으로 인해 영향을 받은 “수천 개 기업” 중 하나이며, 이 사건은 해킹 그룹 TeamPCP와 연관이 있습니다.
• 갈취 그룹 **Lapsus$**는 Mercor를 표적으로 삼아 데이터를 확보했다고 주장했지만, Lapsus$가 TeamPCP 공격에서 탈취된 데이터를 어떻게 입수했는지는 아직 명확하지 않습니다.

Company Background

• 2023년에 설립된 Mercor는 OpenAI와 Anthropic 같은 기업과 협력해 인도 등 다양한 시장의 전문 도메인 전문가(과학자, 의사, 변호사 등)를 계약하여 AI 모델을 학습시킵니다.
• 이 스타트업은 일일 200만 달러 이상의 지급을 중개하고 있으며, 2025년 10월에 Felicis Ventures가 주도한 3억 5천만 달러 규모의 Series C 라운드 이후 100억 달러의 가치를 평가받았습니다.
  • Source: TechCrunch – Mercor valuation

Mercor’s Response

• 대변인 Heidi Hagberg는 회사가 “신속히” 사건을 차단하고 복구하기 위해 조치를 취했다고 밝혔습니다.
• Hagberg는 “우리는 선도적인 제3자 포렌식 전문가들의 지원을 받아 철저한 조사를 진행하고 있습니다.”라며 “고객 및 계약자와 직접 적절히 소통하고, 가능한 한 빨리 문제를 해결하기 위해 필요한 자원을 투입할 것입니다.”라고 덧붙였습니다.
• Hagberg는 사건이 Lapsus$ 주장과 직접적인 연관이 있는지, 혹은 고객이나 계약자의 데이터가 접근·유출·오용되었는지에 대해서는 언급을 거부했습니다.

Lapsus$ Leak

• Lapsus$는 자체 유출 사이트에 Mercor에서 가져온 것으로 추정되는 데이터 샘플을 게시했으며, TechCrunch가 이를 검토했습니다. 해당 샘플에는 Slack 데이터, 티켓팅 데이터에 대한 언급과 Mercor의 AI 시스템과 계약자 간 대화를 보여주는 두 개의 영상이 포함되어 있었습니다.

LiteLLM Compromise

• LiteLLM 침해는 Y Combinator 지원 프로젝트와 연관된 패키지에서 악성 코드가 발견된 후 처음 알려졌습니다. 해당 코드는 몇 시간 내에 식별되어 제거되었습니다.
• 이 사건은 LiteLLM이 널리 사용되고 있어 주목을 받았으며, 보안 업체 Snyk에 따르면 이 라이브러리는 하루에 수백만 번 다운로드됩니다.
• 침해 이후 LiteLLM은 컴플라이언스 프로세스를 변경했으며, 논란이 있었던 스타트업 Delve에서 Vanta로 인증 기관을 전환했습니다.
  • Original report: TechCrunch – LiteLLM security issue
  • Compliance update: TechCrunch – LiteLLM switches to Vanta

Outlook

• LiteLLM 관련 사건으로 얼마나 많은 기업이 영향을 받았는지, 데이터 노출이 있었는지는 아직 명확하지 않습니다. 조사가 진행 중입니다.