Mercor 데이터 침해 사고, 생체 인식 정보 및 신분증 문서 노출

AI 스타트업 Mercor, 대규모 생체 인식 데이터 침해 피해 입어

기업 가치 100억 달러의 AI 채용 및 인력 플랫폼인 Mercor가 심각한 데이터 침해 사고를 겪었습니다. 이번 사고로 상상할 수 있는 가장 민감한 개인 정보 중 일부인 정부 발급 신분증 문서, 안면 생체 인식 정보, 그리고 음성 생체 인식 정보가 사용자들로부터 노출되었습니다. 이번 침해 사고는 탈취된 데이터의 성격뿐만 아니라, 사고가 발생한 경위와 피해를 입은 개인들에게 미칠 수 있는 결과로 인해 광범위한 주목을 받고 있습니다.

이번 사건은 개발자들이 대형 언어 모델을 애플리케이션에 통합하는 데 널리 사용되는 오픈소스 라이브러리인 LiteLLM을 표적으로 삼은 공급망 공격과 연관되어 있습니다. 이처럼 근본적인 의존성 요소가 침해될 경우, 해당 요소에 의존하는 수십 또는 수백 개의 기업에 피해가 파급될 수 있습니다. 이번 경우 Mercor가 피해 기업 중 하나인 것으로 보입니다. TeamPCP와 Lapsus$라는 해킹 그룹이 이번 공격에 연루된 것으로 지목되었습니다. Lapsus$는 주요 기술 기업들을 상대로 한 고수준 침입 공격 이력이 잘 기록된 그룹입니다.

Mercor와 협력 관계를 유지하던 Meta는 이번 침해 사고 소식이 전해진 후 해당 파트너십을 일시 중단한 것으로 알려졌습니다.

생체 인식 데이터 침해가 특히 위험한 이유

모든 데이터 침해 사고가 동일한 위험을 수반하는 것은 아닙니다. 비밀번호가 도용되면 변경할 수 있습니다. 신용카드 번호가 노출되면 은행에서 새 카드를 발급해 줄 수 있습니다. 그러나 생체 인식 데이터는 다릅니다. 얼굴, 목소리, 지문은 재발급이 불가능합니다. 한번 유출된 데이터는 영구적으로 외부에 노출됩니다.

바로 이 점이 이번 Mercor 침해 사고를 특히 심각하게 만드는 요인입니다. 안면 생체 인식 정보와 정부 발급 신분증 문서가 결합되면 악의적인 행위자들에게 신원 사기를 위한 매우 강력한 수단을 제공합니다. 구체적으로는, AI가 생성한 합성 미디어를 이용해 실제 인물을 사칭하는 딥페이크 사기에 이상적인 조건을 만들어 냅니다. 공격자들은 탈취한 얼굴 이미지와 음성 녹음을 이용해 신원 확인 절차를 통과하거나, 사기성 금융 계좌를 개설하거나, 화상 통화 및 인터뷰에서 타인을 사칭할 가능성이 있습니다.

딥페이크 기술은 빠르게 발전하고 있으며, 설득력 있는 합성 미디어를 만드는 데 필요한 장벽도 크게 낮아졌습니다. 실제 인물의 생체 인식 데이터와 같은 고품질 원본 자료가 확보될 경우, 그 결과물은 더욱 실감 나고 탐지하기 어려워집니다.

이번 침해 사고의 중심에 있는 공급망 취약점

이번 사고에서 가장 중요한 측면 중 하나는 공격 경로인 공급망 침해입니다. 위협 행위자들은 Mercor를 직접 공격하는 대신, Mercor를 비롯한 수많은 AI 기업이 의존하는 라이브러리인 LiteLLM을 표적으로 삼았습니다. 이는 잘 확립되어 있으며 점점 더 일반화되고 있는 공격 전략입니다.

공급망 공격은 신뢰를 악용하기 때문에 방어하기가 어렵습니다. 기업이 오픈소스 라이브러리를 통합할 때는 해당 코드가 안전하다는 것을 암묵적으로 신뢰합니다. 라이브러리 수준에서 악성 코드를 삽입하면, 업데이트를 적용하는 모든 기업이 자신도 모르게 백도어나 데이터 수집 구성 요소를 설치할 수 있습니다.

이번 침해 사고는 조직의 보안 수준이 소프트웨어 의존성 중 가장 취약한 고리만큼만 강하다는 사실을 다시금 상기시켜 줍니다. 사용자 입장에서는, 데이터를 직접 제공한 기업으로부터 몇 단계나 떨어진 곳에서 내려진 결정으로 인해 개인 데이터가 위험에 처할 수 있다는 점을 보여줍니다.

여러분이 취해야 할 조치

Mercor 플랫폼을 이용하면서 신원 확인 문서를 제출하거나 생체 인식 데이터 수집에 참여한 적이 있다면, 자신의 신원 정보가 잠재적으로 침해되었을 가능성을 염두에 두어야 합니다. 지금 당장 취할 수 있는 조치는 다음과 같습니다:

• 신원 사기 여부를 모니터링하세요. 거래 은행 및 금융 기관에 알림을 설정하고, 신용 보고서에서 비정상적인 활동이 있는지 확인하세요.
• 영상 기반 신원 확인 절차에 주의를 기울이세요. 누군가가 영상 인증 상황에서 본인인 척 주장할 경우, 딥페이크 도구를 이용하면 이제 그러한 사칭이 더욱 쉬워졌습니다.
• 출처 불명의 연락을 의심하세요. 신분증 데이터를 보유한 사기꾼들은 이미 개인 정보를 알고 있기 때문에 유난히 진짜처럼 보이는 피싱 공격을 시도할 수 있습니다.
• 앞으로 생체 인식 데이터 공유를 제한하세요. 안면 스캔, 음성 녹음, 또는 정부 발급 신분증을 제공할 서비스를 신중하게 선택하세요. 해당 서비스가 실제로 그 수준의 데이터를 필요로 하는지 확인하세요.
• 모든 서비스에서 강력하고 고유한 자격 증명을 사용하세요. 비밀번호만으로는 생체 인식 데이터를 보호할 수 없지만, 전반적인 공격 노출 면적을 줄이는 것은 항상 가치 있는 일입니다.
• 통신을 암호화하세요. 특히 공용 네트워크나 신뢰할 수 없는 네트워크에서 서비스에 접속할 때 VPN을 사용하면 추가적인 데이터 탈취 위험을 줄일 수 있습니다.

이번 Mercor 침해 사고는 고도로 민감한 생체 인식 데이터의 중앙 집중식 저장이 집중된 위험을 초래하는 이유를 명확히 보여줍니다. 한 기업이 많은 사람들의 안면 스캔, 음성 인식 정보, 신분증을 보유하고 있을 경우, 단 한 번의 성공적인 공격이 수년간 지속되는 결과를 초래할 수 있습니다.

자신이 이용하는 서비스에 영향을 미치는 침해 사고에 대한 정보를 지속적으로 파악하고, 어떤 플랫폼에 어떤 데이터를 공유했는지 인식하며, 디지털 신원에 대해 선제적으로 접근하는 것이 가장 실용적인 대응 방법 중 하나입니다. 데이터 침해 사고는 사라지지 않겠지만, 가장 민감한 정보가 어디에 보관되어 있는지 더 잘 알수록, 문제가 발생했을 때 더 효과적으로 대응할 수 있습니다.