Mercor는 오픈 소스 LiteLLM 프로젝트가 손상된 것과 연관된 사이버 공격을 받았다고 밝혔다

Source: TechCrunch

Incident overview

Mercor, 인기 있는 AI 채용 스타트업은 오픈소스 프로젝트 LiteLLM과 관련된 공급망 공격에 연결된 보안 사고를 확인했습니다. 이 AI 스타트업은 TechCrunch에 “수천 개 기업 중 하나”가 최근 LiteLLM 프로젝트가 침해된 사건에 영향을 받았으며, 이는 TeamPCP라는 해킹 그룹과 연관되어 있다고 밝혔습니다.

그 후, 랜섬 그룹 **Lapsus$**가 Mercor를 표적으로 삼아 데이터를 탈취했다고 주장했습니다. Lapsus$가 TeamPCP의 사이버 공격의 일환으로 도난된 데이터를 어떻게 입수했는지는 아직 명확하지 않습니다.

About Mercor

2023년에 설립된 Mercor는 OpenAI와 Anthropic을 포함한 기업들과 협력하여 과학자, 의사, 변호사 등 전문 분야 전문가들을 계약해 AI 모델을 교육합니다. 이 스타트업은 일일 200만 달러 이상의 지급을 지원한다고 하며, 2025년 10월에 Felicis Ventures가 주도한 3억 5천만 달러 규모의 Series C 라운드 이후 100억 달러의 가치를 평가받았습니다(TechCrunch 기사).

Response from Mercor

Mercor 대변인 Heidi Hagberg은 회사가 보안 사고를 “신속히” 차단하고 복구하기 위해 조치를 취했다고 확인했습니다.

“우리는 선도적인 제3자 포렌식 전문가들의 지원을 받아 철저한 조사를 진행하고 있습니다.”라고 Hagberg은 말했습니다. “고객 및 계약자와 직접 적절히 소통을 지속하고, 문제를 가능한 한 빨리 해결하기 위해 필요한 자원을 투입할 것입니다.”

Hagberg은 사건이 Lapsus$의 주장과 연결되어 있는지, 혹은 고객이나 계약자의 데이터가 접근, 유출, 오용되었는지에 대한 후속 질문에 답변을 거부했습니다.

Lapsus$ claims

이전에 Lapsus$는 자체 유출 사이트에 데이터 유출에 대한 책임을 인정하고, TechCrunch가 검토한 Mercor에서 가져온 것으로 추정되는 데이터 샘플을 공유했습니다. 해당 샘플에는 Slack 데이터, 티켓팅 데이터, 그리고 Mercor 플랫폼에서 AI 시스템과 계약자 간 대화를 보여주는 것으로 보이는 두 개의 비디오가 포함되어 있었습니다.

LiteLLM compromise

LiteLLM의 침해 사건은 지난 주에 처음 드러났습니다(TechCrunch 기사). Y Combinator 지원 스타트업의 오픈소스 프로젝트와 연관된 패키지에서 악성 코드가 발견되었고, 몇 시간 내에 해당 코드는 식별·제거되었습니다. 그러나 LiteLLM은 매일 수백만 번 다운로드될 정도로 널리 사용되고 있어 보안 업체 Snyk의 주목을 받았습니다.

이 사건을 계기로 LiteLLM은 논란이 있었던 스타트업 Delve에서 Vanta로 전환해 컴플라이언스 인증 절차를 변경했습니다(관련 기사).

LiteLLM 관련 사고로 얼마나 많은 기업이 영향을 받았는지, 데이터 노출이 있었는지는 아직 조사 중이며 명확히 밝혀지지 않았습니다.