AI 개발자 340만 명이 매일 쓰는 도구에 악성코드가 숨어 있었다
AI 모델 통합 도구 LiteLLM에서 자격증명 탈취 악성코드가 발견됐다. 하루 340만 건 다운로드, SOC2 인증까지 받은 오픈소스 프로젝트의 공급망 공격 전말과 그 의미.
하루에 340만 번 다운로드되는 도구에 악성코드가 심어져 있었다. 그것도 AI 개발자라면 한 번쯤 써봤을 LiteLLM에.
무슨 일이 있었나
LiteLLM은 개발자들이 OpenAI, Anthropic, Google 등 수백 개의 AI 모델에 단일 인터페이스로 접근할 수 있게 해주는 오픈소스 프로젝트다. 와이콤비네이터(Y Combinator) 출신 스타트업이 만들었고, 깃허브 스타 4만 개, 수천 개의 포크를 기록한 AI 개발 생태계의 핵심 인프라다. 국내에서도 네이버, 카카오를 비롯한 수많은 AI 서비스 개발팀이 이 도구를 활용하고 있을 가능성이 높다.
이번 사건을 처음 발견한 건 AI 웹 리서치 에이전트 스타트업 FutureSearch의 연구 과학자 Callum McMahon이었다. 그가 LiteLLM을 다운로드하자 컴퓨터가 갑자기 꺼졌다. 이상하다고 느낀 그가 파고들었고, 악성코드를 발견했다.
악성코드는 LiteLLM 자체가 아닌 의존성(dependency)을 통해 침투했다. 오픈소스 프로젝트는 수십, 수백 개의 외부 라이브러리에 의존한다. 그중 하나가 오염되어 있었다. 이 악성코드는 감염된 시스템에서 로그인 자격증명을 탈취하고, 그 자격증명을 이용해 더 많은 오픈소스 패키지와 계정에 접근해 추가 자격증명을 수집하는 방식으로 작동했다. 연쇄 감염의 구조다.
아이러니하게도, 악성코드 자체의 버그가 McMahon의 컴퓨터를 강제 종료시켰고 덕분에 발각됐다. AI 연구자 Andrej Karpathy를 포함한 여러 전문가들은 이 코드의 허술한 설계를 보고 “바이브 코딩으로 만든 악성코드”라고 결론 내렸다. AI로 대충 생성한 코드라는 뜻이다.
보안 연구사 Snyk에 따르면 이 사건은 비교적 빠르게, 아마도 수 시간 내에 탐지됐다. LiteLLM 개발팀은 즉각 대응에 나섰고, 현재 Mandiant와 공동 포렌식 조사를 진행 중이다.
진짜 문제는 따로 있다
악성코드 자체보다 더 많은 이야기가 나오는 건 LiteLLM 웹사이트에 여전히 걸려 있는 두 개의 보안 인증 배지다. SOC2와 ISO 27001. 기업들이 외부 도구의 신뢰도를 판단할 때 가장 먼저 확인하는 인증들이다.
이 인증을 발급한 곳은 Delve라는 스타트업이다. 역시 와이콤비네이터 출신의 AI 기반 컴플라이언스 자동화 서비스다. 그런데 Delve는 현재 가짜 데이터를 생성하고 형식적인 감사만 통과시켜 고객들에게 허위 컴플라이언스 인증을 제공했다는 의혹을 받고 있다. Delve 측은 이를 부인하고 있다.
엔지니어링 뉴스레터로 유명한 Gergely Orosz는 X(트위터)에 이렇게 썼다. "농담인 줄 알았는데... 진짜였네. LiteLLM이 정말로 ‘Secured by Delve’였군요."
이 지점이 중요하다. SOC2 인증은 악성코드 침투를 자동으로 막아주는 기술적 방패가 아니다. 기업이 보안 정책과 절차를 갖추고 있다는 것을 증명하는 문서다. 소프트웨어 의존성 관리도 SOC2 적용 범위에 포함되지만, 정책이 있다고 공격을 완전히 차단할 수는 없다. 그러나 인증 자체의 신뢰성이 흔들린다면, 그 정책조차 실제로 검증됐는지 알 수 없게 된다.
한국 AI 개발 생태계가 주목해야 할 이유
국내 AI 스타트업과 대기업 개발팀 모두 LiteLLM 같은 오픈소스 도구를 광범위하게 활용한다. 빠른 개발 속도와 비용 절감을 위해서다. 문제는 이런 도구들의 의존성 체인이 얼마나 깊고 복잡한지 대부분의 팀이 파악하지 못한다는 것이다.
한국 기업들이 외부 AI 서비스 도입 시 SOC2나 ISO 27001 인증을 신뢰 지표로 삼는 경우가 많다. 그런데 이번 사건은 인증 자체가 얼마나 취약한 기반 위에 서 있을 수 있는지를 보여준다. Delve 의혹이 사실로 확인된다면, 같은 방식으로 인증받은 수많은 서비스들의 신뢰도도 재검토가 불가피해진다.
더 구조적인 문제도 있다. AI 개발 속도가 빨라질수록 개발자들은 검증되지 않은 패키지를 빠르게 가져다 쓴다. “바이브 코딩”이 개발자들 사이에서 확산되면서, 이제는 악성코드조차 AI로 빠르게 생성할 수 있는 시대가 됐다. 공격의 진입 장벽이 낮아진 것이다.
이해관계자들의 서로 다른 시선
개발자 커뮤니티는 이번 사건을 경고 신호로 받아들이는 동시에, 오픈소스 생태계 자체에 대한 불신으로 이어질까 우려한다. 오픈소스의 강점은 투명성과 집단 검증인데, 이번처럼 의존성 깊숙이 숨어든 악성코드는 그 강점을 역이용한다.
기업 보안팀은 다르게 본다. “우리가 직접 코드를 작성하지 않은 외부 라이브러리까지 어떻게 다 검증하냐”는 현실적인 한계를 호소한다. 수백 개의 의존성이 얽힌 현대 소프트웨어에서 공급망 보안은 사실상 불가능에 가까운 과제다.
보안 인증 업계는 가장 불편한 위치에 있다. 이번 사건은 컴플라이언스 인증이 실제 보안 수준을 보장하지 않는다는 오래된 비판을 다시 수면 위로 끌어올렸다. 특히 AI로 인증 과정을 자동화하는 Delve 같은 서비스가 등장하면서, “인증을 위한 인증”이 더 쉬워졌다는 우려가 커지고 있다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
노스이스턴대 연구팀이 AI 에이전트를 심리적으로 조종해 기밀 유출, 디스크 고갈, 무한 루프를 유발하는 데 성공했다. 착한 AI가 오히려 취약점이 될 수 있다는 경고다.
미국 FCC가 해외 제조 소비자용 공유기 판매를 금지했다. TP-Link, Netgear, Asus 모두 영향권에 든 이 결정이 한국 기업과 소비자에게 무엇을 의미하는지 분석한다.
미국 FCC가 외국산 소비자용 네트워킹 장비의 신규 수입을 전면 금지했다. 드론에 이어 공유기까지 확대된 이 조치가 삼성, LG, 국내 통신사에 어떤 파장을 일으킬지 분석한다.
미국과 유럽에서 확산 중인 온라인 연령 인증 의무화. 미성년자 보호라는 명분 뒤에 숨은 개인정보 수집 문제, 그리고 VPN으로 이를 우회하는 현실을 다각도로 분석한다.
노스이스턴대 연구팀이 AI 에이전트를 심리적으로 조종해 기밀 유출, 디스크 고갈, 무한 루프를 유발하는 데 성공했다. 착한 AI가 오히려 취약점이 될 수 있다는 경고다.
미국 FCC가 해외 제조 소비자용 공유기 판매를 금지했다. TP-Link, Netgear, Asus 모두 영향권에 든 이 결정이 한국 기업과 소비자에게 무엇을 의미하는지 분석한다.
미국 FCC가 외국산 소비자용 네트워킹 장비의 신규 수입을 전면 금지했다. 드론에 이어 공유기까지 확대된 이 조치가 삼성, LG, 국내 통신사에 어떤 파장을 일으킬지 분석한다.
미국과 유럽에서 확산 중인 온라인 연령 인증 의무화. 미성년자 보호라는 명분 뒤에 숨은 개인정보 수집 문제, 그리고 VPN으로 이를 우회하는 현실을 다각도로 분석한다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요