실리콘밸리에서 두 개의 큰 파문이 예상치 못한 지점에서 맞닥뜨렸다.

라이트LLM(LiteLLM)은 개발자가 OpenAI, 앤쓰로픽(Anthropic) 등 100개 이상의 LLM API를 하나의 인터페이스로 다룰 수 있게 해주는 파이썬 라이브러리다. 와이컴비네이터(Y Combinator) 2023년 겨울 코호트 출신으로, 스트라이프(Stripe), 넷플릭스(Netflix), 구글(Google)은 물론 크루AI(CrewAI), DSPy, MLflow 같은 주요 AI 프레임워크도 이 라이브러리에 의존한다. 보안 기업 스닉(Snyk)에 따르면 하루 다운로드 수가 340만 회에 달한다.

24일 오전(현지시간), 이 라이브러리에 자격증명을 훔치는 악성코드가 심어진 사실이 드러났다. TeamPCP라는 공격자 그룹이 파이파이(PyPI) 저장소에 올린 버전 1.82.7과 1.82.8에는 SSH 개인 키, AWS·GCP·Azure 클라우드 접속 정보, 쿠버네티스 설정, CI/CD 파이프라인 시크릿, 데이터베이스 비밀번호, 암호화폐 지갑에 이르기까지 손에 잡히는 모든 자격증명을 긁어가는 코드가 숨어 있었다. 두 버전은 약 3시간 만에 격리됐지만, 그사이 수만 건의 다운로드가 이뤄진 것으로 추정된다.

침투 경로는 라이트LLM 코드베이스 자체가 아니었다. 공격자들은 5일 전인 3월 19일, 라이트LLM의 빌드 파이프라인(CI/CD)이 코드 보안 검사에 사용하는 오픈소스 스캐너 트리비(Trivy)의 깃허브(GitHub) 저장소 태그를 악성 버전으로 몰래 교체해 뒀다. 라이트LLM 팀이 정기 빌드를 돌리는 순간 이미 오염된 트리비가 실행됐고, PyPI 게시 토큰이 탈취됐다. 토큰을 손에 넣은 공격자들은 공식 패키지인 척 악성 버전을 직접 올릴 수 있었다. 같은 공격 인프라가 보안 도구 체크마크스(Checkmarx)의 KICS에도 활용됐다는 사실이 이후 확인됐다.

최초 발견자는 AI 리서치 기업 퓨처서치(FutureSearch)의 연구 과학자 캘럼 맥마혼(Callum McMahon)이었다. 커서(Cursor) MCP 플러그인을 테스트하다 라이트LLM을 간접 의존성으로 설치했는데, 갑자기 컴퓨터가 꺼졌다. 재부팅 후 클로드 코드(Claude Code)로 원인을 추적한 그는 악성 코드를 발견하고 즉시 공개했다. 아이러니하게도, 악성 코드 안에 시스템 메모리를 고갈시키는 ‘포크 폭탄(fork bomb)’ 버그가 있었기 때문에 문제를 빠르게 알아챌 수 있었다. AI 연구자 안드레이 카르파티(Andrej Karpathy)는 코드 상태를 보고 “바이브 코딩으로 만든 게 분명하다”고 꼬집었다. 공격자가 더 꼼꼼하게 만들었다면 며칠, 혹은 몇 주 동안 들키지 않았을 수도 있다는 얘기다.

라이트LLM CEO 크리시 도할키아(Krrish Dholakia)는 현재 만디언트(Mandiant)와 함께 포렌식 조사를 진행 중이다. 그는 “포렌식 검토가 끝나면 기술적 교훈을 개발자 커뮤니티와 공유하겠다”고 밝혔다. 공식 도커 이미지나 프록시 서버를 쓰는 고객은 의존성 버전이 고정되어 있어 피해를 입지 않았다. 버전을 고정하지 않은 채 직접 pip 설치를 한 개발자들이 대상이다.

여기서 이야기가 한 번 더 꼬인다. 라이트LLM은 웹사이트에 SOC2와 ISO 27001 두 가지 보안 인증을 통과했다고 게시해 왔다. 그 인증을 담당한 곳이 바로 델브(Delve)였다.

• AI 컴플라이언스 ‘델브(Delve)’, 3억 달러 가치에 3200만 달러 시리즈A 투자유치 

델브는 와이컴비네이터 출신의 AI 컴플라이언스 자동화 스타트업으로, 지난해 인사이트 파트너스(Insight Partners) 주도로 3,200만 달러 시리즈A를 유치하며 기업가치 3억 달러를 인정받은 회사다. 그런데 지난 3월 22일, ‘DeepDelver’라는 가명의 전 고객이 서브스택에 올린 글이 파문을 일으켰다. 수백 개 고객사에 실제로는 구현되지 않은 보안 조치를 이행했다고 허위로 인증해줬다는 주장이었다. 이사회 회의록, 테스트, 프로세스 증거를 날조하고, 인도를 기반으로 운영되는 감사 법인들이 보고서를 형식적으로 도장만 찍는 구조라는 게 핵심 혐의다. 인사이트 파트너스는 델브 투자 관련 블로그 글을 한때 삭제했다가 이후 복원했다. 델브 측은 “사실과 다르다”며 전면 부인하고 있다.

엔지니어 게르게이 오로스(Gergely Orosz)는 X(구 트위터)에 “농담인 줄 알았는데, 라이트LLM이 진짜로 ‘델브로 보안받음’이었네”라고 썼다. 커뮤니티 반응도 비슷했다. “델브가 보증했다(Brought to you by Delve)”는 식의 냉소가 쏟아졌다.

다만 짚어둬야 할 지점이 있다. SOC2나 ISO 27001 같은 인증은 기업이 보안 정책과 프로세스를 적절하게 갖추고 있는지를 보증하는 것이지, 공급망 공격까지 막아주는 방패가 아니다. 신뢰받는 오픈소스 도구의 빌드 파이프라인을 통해 침투하는 이번 방식은 인증서 하나로 대응할 수 있는 위협이 아니다.

그럼에도 이번 사건은 AI 개발 생태계의 구조적 취약점을 다시 한번 드러냈다. 수천 개 프로젝트가 공유하는 오픈소스 라이브러리 하나가 뚫리는 순간, 보안 허점이 수만 개 시스템으로 동시에 퍼진다. 소나타입(Sonatype) 연구진은 “AI 스택의 중앙 게이트웨이 역할을 하는 패키지들이 공격자의 새로운 표적이 되고 있다”며 “자동화된 방어 없이는 신뢰받는 패키지에 삽입된 악성 코드를 조기에 탐지하기 점점 어려워지고 있다”고 경고했다.