LiteLLM 공급망 공격이 드러낸 AI 생태계의 구조적 취약점

2026년 3월 24일, AI 개발자들이 100개 이상의 대형언어모델(LLM) API를 통합 관리하기 위해 사용하는 오픈소스 라이브러리 LiteLLM의 PyPI 패키지가 악성 코드에 감염된 채 배포되었습니다. 불과 40분간 노출된 이 악성 패키지는 하루 수백만 건의 다운로드를 기록하는 LiteLLM의 특성상, 수십만 대의 시스템과 1,000개 이상의 SaaS 환경에 영향을 미친 것으로 추정됩니다. 이 사건의 가장 대표적인 피해자는 100억 달러 기업가치를 인정받은 AI 채용 스타트업 Mercor로, 해킹 그룹 Lapsus$는 4테라바이트에 달하는 데이터를 탈취했다고 주장하고 있습니다.

이번 사건은 단순한 개별 해킹이 아닙니다. TeamPCP로 알려진 위협 그룹이 오픈소스 보안 스캐너 Trivy를 시작으로, Checkmarx KICS, LiteLLM, Telnyx까지 연쇄적으로 침해한 대규모 캐스케이딩 공급망 공격의 일환이었습니다. 동시에 북한 국가 행위자 Sapphire Sleet가 주도한 Axios npm 공급망 공격까지 겹치면서, AI 개발 도구 생태계 전반의 보안 위기가 본격적으로 수면 위로 떠올랐습니다.

배경: AI 개발 도구의 폭발적 성장과 보안의 사각지대

LiteLLM은 OpenAI, Anthropic, Google, Azure 등 100개 이상의 LLM 프로바이더 API를 단일 인터페이스로 통합해주는 Python 라이브러리입니다. AI 에이전트, RAG 파이프라인, 프롬프트 라우팅 등 현대 AI 인프라의 핵심 구성 요소로 자리잡으면서, Wiz의 분석에 따르면 전체 클라우드 환경의 약 **36%**에 설치되어 있을 정도로 광범위하게 사용되고 있었습니다.

Mercor는 2023년 설립된 AI 채용 플랫폼으로, 의학, 법학, 문학 등 전문 분야의 도메인 전문가를 모집하여 AI 모델 학습 데이터를 제공하는 사업을 영위하고 있습니다. 2025년 10월 Felicis Ventures가 주도한 시리즈 C 라운드에서 3억 5,000만 달러를 유치하며 100억 달러 기업가치를 달성했습니다. Anthropic, OpenAI, Meta 등이 주요 고객사로, AI 산업의 핵심 데이터 공급망에 위치한 기업이었습니다.

오픈소스 생태계의 보안 부채는 이미 경고 수준에 도달해 있었습니다. 2026년 초 발표된 보고서에 따르면, 코드베이스당 평균 취약점 수가 1년 만에 280개에서 581개로 두 배 이상 증가했으며, 조사 대상 기업의 **65%**가 지난 1년간 소프트웨어 공급망 공격을 경험한 것으로 나타났습니다.

핵심 분석: TeamPCP 캐스케이딩 공급망 공격의 기술적 해부

공격 타임라인과 전파 경로

TeamPCP의 캠페인은 2026년 2월 말부터 3월 27일까지 5단계에 걸쳐 전개되었습니다. 3월 19일 Aqua Security가 관리하는 오픈소스 취약점 스캐너 Trivy의 악성 버전(v0.69.4)이 탈취된 자격 증명을 통해 배포된 것이 시작이었습니다. 이후 3월 20~22일 자기 전파형 npm 웜이 45개 이상의 패키지에 확산되었고, 3월 23일 Checkmarx와 OpenVSX 확장이 침해되었습니다.

3월 24일 UTC 08:30~11:25 사이, LiteLLM 버전 1.82.7과 1.82.8이 PyPI에 게시되었습니다. Datadog Security Labs의 분석에 따르면, 공격자는 Trivy 침해 과정에서 획득한 PyPI 토큰을 재사용하여 LiteLLM 패키지의 배포 권한을 장악했습니다.

악성 코드의 기술적 메커니즘

버전 1.82.7은 litellm/proxy/proxy_server.py에 악성 코드를 삽입하여, litellm --proxy 실행 시 또는 해당 모듈이 임포트될 때 활성화되는 방식이었습니다. 그러나 버전 1.82.8은 훨씬 위험한 방식을 채택했습니다. litellm_init.pth 파일을 포함시켜, Python 인터프리터가 시작될 때마다 자동으로 실행되도록 했습니다. 이는 LiteLLM을 명시적으로 임포트하지 않더라도, 해당 환경에 설치되어 있기만 하면 모든 Python 프로세스에서 악성 코드가 실행된다는 것을 의미합니다.

페이로드의 실행 순서는 다음과 같았습니다. 먼저 환경 변수, SSH 키, AWS·GCP·Azure 클라우드 자격 증명, Kubernetes 토큰, 데이터베이스 자격 증명, 암호화폐 지갑 정보를 수집합니다. 수집된 데이터는 AES-256 세션 키로 암호화한 뒤 RSA-4096으로 키를 래핑하여 models.litellm[.]cloud로 전송합니다. 이후 ~/.config/sysmon/sysmon.py에 지속성을 확보하고 systemd 유닛으로 등록하며, Kubernetes 환경에서는 권한이 상승된 node-setup-* 팟을 생성하여 클러스터 전체에 대한 접근 권한을 확보했습니다.

Mercor 피해의 구체적 규모

Lapsus$ 해킹 그룹은 Mercor에서 총 4TB의 데이터를 탈취했다고 주장했습니다. 이 중 939GB는 소스 코드이며, 나머지에는 후보자 프로필과 개인식별정보, 고용주 데이터, API 키와 시크릿, Tailscale VPN 사용 데이터, AI 시스템과 계약자 간의 영상 인터뷰 기록이 포함되어 있다고 합니다. 특히 Mercor의 고객사인 Anthropic, OpenAI, Meta의 기밀 AI 프로젝트 관련 데이터셋과 정보가 노출되었을 가능성이 제기되었으나, Mercor는 이에 대한 구체적인 답변을 하지 않았습니다.

Mercor 대변인 하이디 해그버그(Heidi Hagberg)는 회사가 "신속하게 사건을 봉쇄하고 복구 조치를 취했다"고 밝혔으며, 제3자 포렌식 조사가 진행 중이라고 확인했습니다. 현재 4만 명 이상의 피해자를 대표하는 집단 소송이 제기된 상태입니다.

북한 국가 행위자의 동시다발적 공급망 공격

이번 LiteLLM/TeamPCP 사건과 거의 동시에, 북한 국가 행위자 Sapphire Sleet가 JavaScript 생태계의 핵심 라이브러리인 Axios의 npm 패키지를 침해한 사건이 발생했습니다. Microsoft Threat Intelligence가 2026년 3월 31일 공식 귀속한 이 공격에서, 악성 버전 1.14.1과 0.30.4가 배포되어 원격 접근 트로이목마(RAT)를 설치했습니다. 주간 7,000만 건 이상 다운로드되는 Axios의 특성상, 자동 업데이트 설정을 가진 수많은 프로젝트가 즉시 영향을 받았습니다.

Google은 이 공격을 북한 연계 그룹 UNC1069로도 귀속시켰습니다. 보안 전문가들은 AI 에이전트가 "리뷰나 가드레일 없이" 소프트웨어를 개발하는 조직에서의 도입이 확산되는 시점에 이 공격이 "완벽한 타이밍"이었다고 평가했습니다. 북한은 또한 npm에 26개의 악성 패키지를 게시하고, VS Code 프로젝트를 미끼로 활용하는 등 개발자 도구 생태계 전반에 대한 공격을 강화하고 있었습니다.

산업 영향: AI 공급망의 구조적 리스크 재평가

vx-underground의 위협 헌터들은 약 50만 대의 머신에서 데이터 유출이 발생한 것으로 추정하고 있으며, Mandiant는 1,000개 이상의 SaaS 환경이 연쇄 효과에 대응 중이라고 보고했습니다. TeamPCP가 Lapsus$(갈취), CipherForce(랜섬웨어), Vect(랜섬웨어) 등 다수의 범죄 조직과 협력하여 데이터 유출과 갈취를 체계적으로 수행하고 있다는 점은, 이번 사건이 2023년 MOVEit 취약점 악용 캠페인에 필적하는 규모로 확산될 수 있음을 시사합니다.

Cisco는 자사 제품인 Trivy 관련 공급망 이슈를 인지하고 있다고 밝혔으나, 고객·제품·서비스에 대한 영향의 증거는 발견하지 못했다고 발표했습니다. 그러나 공격자의 접근이 Cisco 시스템에 도달했는지에 대해서는 구체적인 답변을 회피했습니다.

GitHub 블로그에서 67개 오픈소스 AI 프로젝트의 보안 상태를 분석한 보고서, Cisco의 2026년 AI 보안 현황 보고서 등이 연이어 발표되면서, AI 공급망 보안이 업계 최우선 의제로 부상하고 있습니다.

전망: AI 시대의 공급망 보안 패러다임 전환

이번 사건은 AI 개발 도구 생태계의 보안 모델에 근본적인 변화를 요구하고 있습니다. LiteLLM처럼 수백 개의 AI 서비스 자격 증명을 집약하는 도구가 단일 장애점(Single Point of Failure)이 될 수 있다는 사실은, 의존성 관리와 자격 증명 격리에 대한 새로운 접근이 필요함을 보여줍니다.

Datadog, Wiz, Snyk, ReversingLabs 등 주요 보안 기업들은 공통적으로 영향받은 시스템을 "전면적 자격 증명 노출 사건"으로 취급할 것을 권고하고 있습니다. 구체적으로는 취약 버전이 설치된 모든 호스트·컨테이너·CI 작업을 식별하고, 침해된 런타임에서 접근 가능한 모든 자격 증명을 교체하며, C2 도메인으로의 아웃바운드 트래픽과 sysmon.py, /tmp/pglog 등 파일시스템 아티팩트를 추적해야 합니다.

더 넓은 시각에서, AI 에이전트가 코드를 자동으로 작성하고 패키지를 설치하는 시대에 공급망 공격의 위험은 기하급수적으로 증가하고 있습니다. 악성 의도가 명시적 네트워크 콜백이 아닌 자연어 프롬프트로 표현되는 AI 보조 공급망 악용 기법까지 등장하면서, 기존의 탐지 방식만으로는 대응이 어려워지고 있습니다. OpenSSF(Open Source Security Foundation)가 경고한 대로, AI, 국가 행위자, 공급망이 교차하는 지점이 2026년 사이버 보안의 가장 위험한 전장이 되고 있습니다.

핵심 시사점

LiteLLM 공급망 공격과 Mercor 침해 사건은 AI 산업이 직면한 보안 위기의 구조적 본질을 적나라하게 드러냈습니다. 오픈소스 AI 도구에 대한 맹목적 신뢰, 자격 증명의 집중화, CI/CD 파이프라인의 취약한 토큰 관리, 그리고 국가 수준 행위자들의 조직적 타겟팅이 결합되면서, AI 개발 생태계는 이전에는 경험하지 못한 수준의 위협에 노출되고 있습니다. 모든 AI 개발 조직은 의존성 감사, 패키지 무결성 검증, 자격 증명 격리, 그리고 제로 트러스트 공급망 전략을 즉각 도입해야 할 시점입니다.