머코(Mercor), 오픈 소스 침해에 따른 데이터 도난 확인
AI 기반 채용 스타트업 머코(Mercor)가 심각한 사이버 공격을 당했고, 이로 인해 강탈 해킹 조직에 의해 데이터가 도난당했음을 확인했습니다. 이 사건은 다양한 대형 언어 모델(LLM)과의 상호 작용을 단순화하도록 설계된 인기 있는 프록시 서버인 오픈 소스 LiteLLM 프로젝트의 광범위한 손상과 관련이 있는 것으로 알려졌습니다.
사이버 범죄 조직이 책임을 주장한 후 Mercor가 2023년 10월 23일에 공개적으로 인정한 위반은 AI 회사의 취약성이 증가하고 오픈 소스 소프트웨어 공급망에 내재된 복잡한 보안 위험이 강조됩니다. Mercor는 아직 도난당한 데이터의 전체 범위나 성격을 공개하지 않았지만, 강탈 집단의 연루는 일반적으로 몸값을 요구할 의도로 민감한 정보가 유출되었음을 의미합니다.
LiteLLM 연결: 공급망 취약성
LiteLLM에 대한 링크는 광범위한 AI 개발 커뮤니티에 특히 우려됩니다. LiteLLM은 중개자 역할을 하여 개발자가 통합 API를 사용하여 OpenAI, Anthropic 및 Google과 같은 제공업체의 LLM에 액세스할 수 있도록 해줍니다. 이러한 침해는 공격자가 AI 상호 작용을 관리하기 위해 이를 사용하는 모든 조직의 시스템에 침투할 수 있는 잠재적인 경로를 시사합니다.
Synapse Labs의 Anya Sharma 박사를 포함한 보안 연구원들은 오픈 소스 종속성과 관련된 '공급망' 위험에 대해 오랫동안 경고해 왔습니다. Sharma 박사는 DailyWiz에 "LiteLLM과 같은 기본 구성 요소가 손상되면 파급 효과가 발생합니다"라고 설명했습니다. "조직은 보안 상태를 완전히 조사하지 않고 효율성을 위해 이러한 도구를 통합합니다. 단일 취약점으로 수천 명의 다운스트림 사용자가 노출될 수 있습니다."
LiteLLM 침해의 구체적인 성격은 아직 조사 중이지만 전문가들은 널리 사용되는 버전에 악성 코드를 삽입하는 것부터 프록시를 통해 흐르는 사용자 데이터에 대한 무단 액세스를 허용하는 자격 증명 도용에 이르기까지 다양할 수 있다고 제안합니다.
Mercor와 그 사용자에게 미치는 영향
AI인 Mercor의 경우 후보자를 회사와 연결하여 채용을 간소화하도록 설계된 플랫폼에서는 위험에 처할 수 있는 잠재적인 데이터가 상당합니다. 여기에는 이름, 연락처 세부 정보, 이력서, 근무 이력은 물론 평가 결과나 인터뷰 메모 등 취업 후보자의 개인 식별 정보(PII)가 포함될 수 있습니다. Mercor의 서비스를 활용하는 회사에서는 독점 채용 데이터나 내부 커뮤니케이션이 손상되는 것을 볼 수도 있습니다.
Mercor는 사건을 조사하고 시스템을 보호하기 위해 사이버 보안 전문가와 협력하고 있다고 밝혔습니다. 머코 대변인은 간단한 성명을 통해 "우리는 이 문제를 매우 심각하게 받아들이고 있으며 사용자들에게 투명성을 제공하기 위해 최선을 다하고 있다"며 조사가 진행됨에 따라 추가 업데이트를 약속했다. 회사는 강탈범과 협력했는지, 피해를 완화하기 위해 어떤 조치를 취하고 있는지 아직 확인하지 않았습니다.
AI 스타트업 및 데이터 보안에 대한 광범위한 위협
이 사건은 점점 더 커지는 추세를 강조합니다. 종종 빠른 혁신과 배포를 우선시하는 AI 스타트업이 사이버 범죄자의 주요 표적이 되고 있습니다. 사용자 상호 작용부터 독점적인 알고리즘까지 방대한 양의 데이터에 대한 액세스는 수익성 있는 표적이 됩니다. 오픈 소스 도구에 대한 의존도는 개발을 가속화하는 동시에 엄격한 보안 프로토콜로 관리하지 않으면 잠재적인 취약점을 야기합니다.
AI 기술이 발전하는 속도는 강력한 보안 프레임워크의 개발 및 구현을 앞지르는 경우가 많습니다. 이로 인해 직접적인 위반이든 공급망 손상이든 정교한 공격이 심각하고 광범위한 결과를 초래할 수 있는 환경이 조성됩니다.
일상 사용자 및 비즈니스를 위한 실제 단계
AI 모집 플랫폼이나 오픈 소스 구성 요소에 의존하는 기타 서비스로 데이터를 관리할 수 있는 개인의 경우 경계가 중요합니다.
- 계정 모니터링: 재무 제표와 신용 보고서에서 의심스러운 항목이 있는지 정기적으로 확인하세요. 활동. 신용 모니터링 서비스 이용을 고려해보세요.
- 강력하고 고유한 비밀번호: 모든 온라인 계정, 특히 입사 지원서나 개인 데이터와 관련된 계정에는 강력하고 고유한 비밀번호를 사용하고 있는지 확인하세요. 가능한 경우 2단계 인증(2FA)을 활성화하세요.
- 피싱을 의심하세요: 원치 않는 이메일이나 메시지, 특히 Mercor나 귀하가 사용하는 기타 서비스에서 발송되었다고 주장하거나 개인정보를 요구하거나 의심스러운 링크로 안내하는 이메일이나 메시지에 주의하세요.
- 개인정보 보호정책 검토: 귀하가 사용하는 서비스가 귀하의 데이터를 어떻게 처리하고 보호하는지 이해하세요.
기업용 AI 도구, 특히 오픈 소스 기반에 구축된 도구를 통합하는 Mercor 사건은 다음과 같은 엄연한 알림을 제공합니다.
- 실사: 모든 타사 공급업체와 오픈 소스 프로젝트의 보안 관행을 철저히 조사합니다.
- 정기 감사: 외부 AI 서비스를 통합하는 시스템을 포함하여 시스템에 대해 자주 보안 감사 및 침투 테스트를 수행합니다.
- 데이터 최소화: 꼭 필요한 데이터만 수집하고 저장하세요. 데이터가 적을수록 침해 위험이 줄어듭니다.
- 사고 대응 계획: 데이터 침해에 대해 명확하고 테스트된 사고 대응 계획을 마련하세요.
널리 사용되는 오픈 소스 AI 구성 요소와 관련된 Mercor 침해 사고는 전체 AI 생태계가 혁신만큼 보안을 우선시하고 점점 더 AI가 주도하는 세상에서 사용자의 신뢰와 데이터 무결성을 보호해야 한다는 중요한 경각심을 불러일으킵니다.
