AI 업계 최대 비밀이 유출됐다 — Mercor 데이터 침해, 메타가 즉시 협력 중단한 이유

바쁘신 여러분들을 위해 결론부터 말씀 드리겠습니다.

• AI 학습 데이터 공급사 Mercor에서 대규모 보안 사고가 발생해 약 4TB의 데이터가 유출되었습니다

• 메타가 즉시 협력을 중단했고, OpenAI·Anthropic 등 주요 AI 랩도 관계를 재평가하고 있습니다

• 공격 경로는 오픈소스 LiteLLM의 공급망 취약점이었으며, AI 업계의 핵심 비밀인 학습 방법론 노출이 우려됩니다

여러분, AI 모델의 가장 큰 비밀이 뭔지 아시나요?
모델 구조도, 가중치도 아닙니다.
어떤 데이터로, 어떻게 학습시키는가 하는 학습 레시피입니다.
그 레시피를 만드는 회사에서 데이터가 유출됐습니다.
2026년 4월, AI 업계에 지진이 났습니다.

1. Mercor가 뭔가? — AI 업계의 핵심 공급망

Mercor는 샌프란시스코 기반 AI 데이터 기업으로, 2025년 10월 기준 가치 100억달러입니다.
이 회사가 하는 일은 간단하지만 치명적입니다.
수천 명의 인간 전문가를 고용해 AI 모델용 맞춤형 학습 데이터를 만듭니다.
데이터 선택 기준, 라벨링 프로토콜, 품질 관리 과정을 설계합니다.
고객은 오픈AI, 앤스로픽, 메타 등 AI 업계 최상위 랩들입니다.
이 레시피는 각사가 수년간 수십억달러를 들여 개발한 핵심 지식재산입니다.
Mercor는 AI 업계의 가장 취약한 공급망 허브였습니다.

2. 공격 전개 — 오픈소스 하나가 4TB를 무너뜨렸다

공격의 시작은 오픈소스 프로젝트 LiteLLM이었습니다.
LiteLLM은 월 9,500만 다운로드를 기록하는 AI 게이트웨이 오픈소스입니다.
해킹 그룹 TeamPCP가 LiteLLM의 공급망 취약점을 악용해 Mercor 시스템에 침투했습니다.
이어 랜섬웨어 그룹 Lapsus$가 Mercor를 표적으로 삼아 약 4TB의 데이터를 탈취했습니다.
유출된 데이터에는 Slack 대화, 내부 티켓 정보, AI 시스템과 계약자 간 대화 영상 등이 포함됐습니다.
가장 심각한 건 학습 데이터 선택 기준과 라벨링 전략이 노출됐을 가능성입니다.
Mercor는 “수천 개 기업 중 하나로 영향받았다”고 밝혔지만, 피해 규모는 압도적입니다.

3. 메타가 즉시 협력 중단한 이유

WIRED 보도에 따르면, 메타는 사건 직후 Mercor와의 협력을 전면 중단했습니다.
이유는 단순합니다. 학습 레시피가 경쟁사에 알려지면 치명적이기 때문입니다.
AI 모델의 성능은 모델 구조보다 학습 데이터의 질에 더 크게 좌우됩니다.
어떤 데이터를 골랐고, 어떻게 라벨링했고, 어떤 품질 기준을 적용했는지.
이 정보가 경쟁사에 넘어가면 수년간 수십억달러의 투자가 무용해질 수 있습니다.
다른 주요 AI 랩들도 Mercor와의 관계를 재평가하고 있습니다.
오픈AI와 앤스로픽은 공식 성명을 내지 않았지만, 내부적으로 영향 평가 중인 것으로 알려졌습니다.

4. 준법 인증의 붕괴 — 가짜 컴플라이언스

이 사건의 더 무서운 측면이 있습니다.
LiteLLM의 보안 컴플라이언스를 인증한 GRC 스타트업 Delve Technologies가 “가짜 컴플라이언스 서비스”를 운영했다는 폭로가 나왔습니다.
내부 고발자가 “인증이 실제 보안 검증 없이 발급됐다”고 밝혔습니다.
즉, 보안 인증 자체가 믿을 수 없게 된 것입니다.
AI 공급망은 세 겹으로 무너졌습니다.
오픈소스 공급망 취약점, 준법 인증의 부실, AI 인프라 거버넌스 부재.
단일 실패가 아니라 시스템 실패입니다.

5. AI 보안의 시사점 — 모델보다 공급망이 약하다

이 사건이 주는 핵심 교훈입니다.
AI 경쟁에서 가장 약한 고리는 모델이 아니라 데이터 공급망입니다.
아무리 강력한 모델을 만들어도, 학습 데이터 레시피가 유출되면 경쟁력이 사라집니다.
기업에 주는 시사점 세 가지입니다.
첫째, 공급망 다각화입니다. 단일 데이터 벤더에 의존하면 그 벤더가 뚫릴 때 전면이 무너집니다.
둘째, 오픈소스 관리입니다. LiteLLM 같은 핵심 의존성의 보안 상태를 지속 모니터링해야 합니다.
셋째, 컴플라이언스 인증 불신입니다. 인증 마크만 믿지 말고, 실제 보안 검증을 독립적으로 수행해야 합니다.
AI의 신뢰는 모델 성능에서 시작하지만, 공급망 보안에서 완성됩니다.

정리하면

AI 학습 데이터 공급사 Mercor에서 약 4TB 데이터가 유출되었습니다

공격 경로는 오픈소스 LiteLLM의 공급망 취약점이었고, Lapsus$가 데이터를 탈취했습니다

메타가 즉시 협력 중단, 오픈AI·앤스로픽도 관계 재평가 중입니다

보안 인증을 발급한 Delve Technologies가 가짜 컴플라이언스를 운영했다는 폭로도 나왔습니다

AI 경쟁의 가장 약한 고리는 모델이 아니라 공급망이며, 다각화·모니터링·독립 검증이 필수입니다

AI를 만드는 비법이 아니라, AI를 만드는 공급망이 뚫렸습니다.
그 충격파는 AI 업계 전체에 퍼지고 있습니다.

자주 묻는 질문 (FAQ)

Q. 일반 사용자의 데이터도 유출됐나요?
Mercor는 AI 모델 학습용 데이터를 만드는 회사입니다. 개인 사용자 데이터보다는 AI 학습 방법론과 계약자 정보가 주요 유출 대상입니다. 다만 계약자 211GB 데이터가 포함된 것으로 알려져, 계약자 개인정보 영향은 있습니다.

Q. 챗GPT나 클로드 사용에 영향이 있나요?
직접적인 서비스 영향은 아직 보고되지 않았습니다. 다만 학습 방법론이 유출되면 장기적으로 경쟁 모델의 성능이 올라갈 수 있어, 간접적 영향은 있습니다.

Q. 기업이 당장 해야 할 일은 뭔가요?
AI 데이터 공급망을 점검하세요. 단일 벤더 의존도를 줄이고, 핵심 오픈소스 의존성의 보안 상태를 확인하고, 보안 인증을 맹신하지 마세요.

감자나라ai 유튜브 채널에서 AI 보안과 공급망 리스크를 더 자세히 다룹니다.
구독해주시면 감사하겠습니다.
감사합니다. 다음 시간에 뵙겠습니다.

—
작성: 감자나라ai (오종현)
발행: potato-ai.xyz