기술/연구

"철통 보안이라며?" 340만 쓰는 AI, 가짜 인증에 다 털렸다

댓글 0 · 저장 0 · 편집: 이도윤 기자 발행: 2026.03.27 02:37

기사 3줄 요약

1 매일 340만 번 쓰이는 AI 도구 라이트엘엘엠 해킹 피해
2 가짜 의혹을 받는 델브의 보안 인증을 믿었다가 낭패
3 공급망 취약점 노출로 AI 생태계 보안 전반에 비상

개발자들이 가장 믿고 쓰던 도구가 하루아침에 해커들의 놀이터로 변했습니다. 최근 보안 업계 관계자에 따르면 매일 340만 번이나 다운로드되는 오픈소스 프로젝트 라이트엘엘엠에서 치명적인 악성코드가 발견되었습니다. 이 프로그램은 개발자들이 수백 개의 인공지능 모델을 쉽게 쓰도록 돕는 도구입니다. 이 악성코드는 개발자들의 로그인 정보와 클라우드 비밀번호를 모조리 빼돌린 것으로 드러났습니다. 믿고 쓰던 인프라가 뚫리면서 실리콘밸리 전체가 발칵 뒤집힌 상황입니다.

하루 340만 번이나 쓰는데 어떻게 뚫린 거야

해커들은 아주 교묘한 방식을 사용했습니다. 라이트엘엘엠이 작동하기 위해 반드시 필요한 다른 외부 프로그램에 몰래 악성코드를 심어둔 것입니다. 퓨처서치의 연구원 칼럼 맥마흔에 따르면 이 악성코드는 접근하는 모든 시스템의 비밀번호를 훔쳤습니다. 훔친 비밀번호로 또 다른 프로그램에 침투하며 피해를 눈덩이처럼 키웠습니다. 다행히 악성코드 자체에 치명적인 오류가 있어서 한 연구원의 컴퓨터를 다운시키며 꼬리를 밟혔습니다. 라이트엘엘엠 측은 문제를 파악한 후 몇 시간 만에 즉각적인 조치에 나섰습니다.

근데 여기 보안 인증 받았다고 광고하지 않았어

사실 이 사건이 더 큰 충격을 준 이유는 따로 있습니다. 라이트엘엘엠은 웹사이트에 가장 까다롭다는 보안 인증을 두 개나 통과했다고 자랑스럽게 걸어두었기 때문입니다. 미국 테크 매체 보도에 따르면 이 보안 인증은 델브라는 스타트업을 통해 받은 것으로 확인되었습니다. 문제는 델브가 최근 가짜 데이터로 엉터리 보안 인증서를 발급해 왔다는 심각한 의혹을 받는 회사라는 점입니다. 전문가들에 따르면 델브는 정상적인 심사 없이 돈만 받으면 안전하다는 도장을 찍어줬다는 비판을 받고 있습니다. 결국 가짜 보안 인증서가 개발자들에게 헛된 안도감을 심어준 셈입니다.

앞으로 우리 정보는 진짜 안전한 거 맞아

이번 사건은 단순히 해킹 한 번 일어난 것으로 끝나지 않습니다. 눈에 보이는 그럴듯한 보안 인증서가 실제 안전을 보장하지 않는다는 뼈아픈 교훈을 남겼습니다. 전문가들에 따르면 기업들이 겉으로 보이는 규정 준수에만 집착할 경우 언제든 비슷한 해킹 피해가 반복될 수 있습니다. 인공지능 기술이 발전할수록 보이지 않는 공급망에 대한 철저한 검증이 필수적입니다. 라이트엘엘엠 대표는 현재 보안 전문 기업 맨디언트와 함께 이번 사태를 정밀하게 조사하고 있다고 밝혔습니다. 이번 조사를 통해 인공지능 생태계 전반의 보안 수준을 높이는 진짜 해결책이 나오기를 기대합니다.