메뉴
BL
TechCrunch AI 51일 전

100억 달러 AI 스타트업 머코, 대규모 데이터 유출로 위기

IMP
8/10
핵심 요약

100억 달러 가치를 인정받았던 AI 데이터 훈련 스타트업 머코(Mercor)가 대규모 데이터 유출 사고를 겪으며 심각한 위기를 맞았습니다. 해커 그룹이 오픈소스 도구인 LiteLLM의 악성코드 감염을 통해 4TB 규모의 고객 데이터와 소스 코드를 탈취한 것으로 파악되었습니다. 이 사건으로 인해 주요 고객사인 메타(Meta)가 계약을 전면 중단했으며, 머코는 소송에 휘말리고 비즈니스 관계 전반에 걸쳐 타격을 입고 있습니다.

번역된 본문

6개월 전, 머코(Mercor)는 3억 5,000만 달러 규모의 시리즈 C 라운딩을 성공적으로 마무리하며 AI 데이터 훈련 스타트업으로서 100억 달러(약 1조 3천억 원)의 기업가치를 인정받고 승승장구하고 있었다. 하지만 3월 31일 자사가 해킹으로 인한 데이터 유출의 표적이 되었다고 인정한 이후, 회사는 온갖 문제에 직면해 있다.

그 이후 한 해커 그룹이 머코 시스템에서 4TB 분량의 탈취된 데이터를 확보했다고 주장했다. 이 데이터에는 후보자 프로필, 개인 식별 정보(PII), 고용주 데이터, 소스 코드, API 키 등이 포함되어 있다. 머코는 해당 데이터의 진위 여부에 대해서는 언급하지 않고, 조사를 진행 중이며 "상황에 맞게 고객 및 계약자와 계속해서 직접 소통하고, 이 문제를 최대한 빨리 해결하기 위해 필요한 모든 자원을 투입할 것"이라는 입장만을 거듭 밝혔다.

머코는 이번 데이터 유출이 오픈소스 도구인 'LiteLLM'이 해킹당한 결과라고 설명했다. 이 도구는 하루에도 수백만 번씩 다운로드될 정도로 매우 인기 있는 프로그램이다. 무려 40분 동안 이 도구에 자격 증명을 수집하는 악성코드(로그인 정보를 훔칠 수 있는 악성 소프트웨어)가 숨어 있었다. 해커들은 탈취한 자격 증명을 사용해 더 많은 소프트웨어와 계정에 접근했고, 이를 통해 또 다른 자격 증명을 수집하는 악순환을 이어갔다.

머코에서 얼마나 많은 데이터가 유출되었는지 공식적인 인정은 없었지만, 그 파장은 이미 일어나고 있다. 소식통들에 따르면 메타(Meta)는 머코와의 계약을 무기한 보류했다고 한다. (머코는 이와 관련된 테크크런치(TechCrunch)의 코멘트 요청을 거절했다.) 다른 AI 데이터 훈련 계약 회사들과 마찬가지로 머코는 모델 개발사들의 가장 큰 영업 비밀, 즉 AI 모델을 학습시키는 데 사용하는 맞춤형 데이터 세트와 프로세스를 다룬다. 이는 기업들에게 매우 중요한 요소이기 때문에 메타는 머코의 경쟁사인 스케일 AI(Scale AI)에 143억 달러를 투자한 후에도 머코와의 협력을 계속해 왔다.

머코에게 (아마도... 앞으로 지켜봐야 알겠지만) 약간의 호재가 있다면, 오픈AI(OpenAI) 역시 와이어드(Wired)에 머코 유출 사태에 대한 자사의 노출 정도를 조사 중이라고 확인하면서도, 현 시점에서는 계약을 중단하거나 종료하지는 않았다고 밝힌 점이다. 하지만 테크크런치는 여러 소식통을 통해 다른 대형 모델 개발사들 역시 이번 유출 사태 이후 머코와의 관계를 재고하고 있을 가능성이 있다는 취지를 전해 들었다. 단, 아직 구체적인 사실관계를 모두 확인하지 못해 해당 기업들의 이름은 공개하지 않았다.

그와 동시에 비즈니스 인사이더(Business Insider)의 보도에 따르면, 머코의 하청 업체 5곳이 개인 정보 유출 혐의와 관련해 소송을 제기했다. 이러한 소송이 실질적인 위협이 될지, 아니면 기회를 노린 억지 소송에 불과할지는 지켜봐야 할 일이다. (머코는 이에 대한 코멘트를 거절했다.)

테크크런치가 입수하여 검토한 한 소송장에는 심지어 LiteLLM과 델브(Delve)도 피고로 포함되어 있었다. 이는 다소 황당하고 무리한 주장일 수 있지만, 둘 사이의 연결 고리는 다음과 같다. LiteLLM은 보안 인증을 획득하기 위해 AI 규정 준수 스타트업인 델브를 이용했다. 델브는 익명의 내부 고발자에 의해 보안 인증을 위해 데이터를 조작하고 문제를 제기하지 않는 감사자들을 내세운 혐의를 받고 있다. 보안 인증이 해커의 공격을 직접적으로 막아주지는 않지만, 기업이 이러한 위협을 최소화할 수 있는 프로세스를 갖추도록 보장하는 것이 그 목적이다. 델브는 이러한 혐의를 부인하면서도 동시에 운영상의 변화를 도입하고 있지만, 회사 자체도 큰 타격을 입어 Y Combinator와의 관계가 끊어지는 등 심각한 고통을 겪고 있다.

원문 보기
원문 보기 (영어)
Six months ago, Mercor was flying high after raising a massive $350 million Series C that valued the AI data training startup at $10 billion. But after admitting on March 31 that it was the target of a data breach , the company has been facing a world of trouble. Since then, a hacker group has claimed to have obtained 4TB of stolen data from Mercor's systems, including candidate profiles, personally identifiable information, employer data, source code, and API keys. Mercor has not commented on the authenticity of the data, reiterating only that it is investigating and "will continue to communicate with our customers and contractors directly as appropriate and devote the resources necessary to resolving the matter as soon as possible." Mercor said its data breach was the result of a hack of the open source tool LiteLLM . This tool is so popular that it's downloaded millions of times a day. For 40 minutes, the tool harbored credential harvesting malware — rogue software that could steal login credentials. Those credentials were used to gain access to more software and accounts, which it used to harvest more credentials, and so on. While there have been no formal acknowledgments of how much data was scooped up from Mercor, there have been repercussions all the same. Meta has paused its contracts with Mercor indefinitely, sources told Wired . (Mercor declined to comment to TechCrunch about this.) Like other contract AI data training companies, Mercor handles some of the model makers' biggest trade secrets: the custom data sets and processes they use to teach their models. This is so important to them that even after Meta spent $14.3 billion on Mercor's competitor Scale AI , it continued working with Mercor. In a spot of good news for Mercor (maybe…we'll see): OpenAI also confirmed to Wired that it was investigating its exposure in Mercor's breach, but said it had not paused or ended its contracts at the time. However, TechCrunch has heard from multiple sources that other large model makers may also be weighing their relationships with Mercor after the breach, although we have not confirmed enough details to name names as of yet. In the meantime, five of Mercor's contractors have filed lawsuits, Business Insider reports , over their alleged personal data exposure. Whether these suits represent a serious threat or are just opportunistic and a nuisance remains to be seen. (Mercor declined to comment.) Techcrunch event This Week Only: Save up to $500 for Disrupt 2026 Offer ends April 10, 11:59 p.m. PT Your next round. Your next hire. Your next breakout opportunity. Find it at TechCrunch Disrupt 2026, where 10,000+ founders, investors, and tech leaders gather for three days of 250+ tactical sessions, powerful introductions, and market-defining innovation. Register now to secure these savings. This Week Only: Save up to $500 for Disrupt 2026 Offer ends April 10, 11:59 p.m. PT Your next round. Your next hire. Your next breakout opportunity. Find it at TechCrunch Disrupt 2026, where 10,000+ founders, investors, and tech leaders gather for three days of 250+ tactical sessions, powerful introductions, and market-defining innovation. Register now to secure these savings. San Francisco, CA | October 13-15, 2026 REGISTER NOW One lawsuit, reviewed by TechCrunch, even named LiteLLM and Delve as defendants. This is wild, and perhaps a stretch, but here's the connection: LiteLLM used AI compliance startup Delve to obtain its security certifications. Delve has been accused by an anonymous whistleblower of allegedly faking data for security certifications and using rubber-stamping auditors. A security certification does not directly prevent hackers from launching successful attacks, but it is intended to ensure that companies have processes in place to minimize such threats. Although Delve has denied those allegations while simultaneously instituting operational changes, it has been a world of hurt of its own, to the point where Y Combinator severed ties with the company. LiteLLM ditched Delve and is now working with another AI compliance startup to obtain its security certifications again. LiteLLM also published a complete report on the security incident. But Mercor itself was not a Delve customer, the company confirmed to TechCrunch. If, however, the fallout for Mercor continues, a lot of revenue could be at stake. The company was reportedly on pace to hit over $1 billion in annualized revenue earlier this year before the data leak, an anonymous source told The Information. Topics AI , Delve , LiteLLM , Mercor , Startups , TC Julie Bort Venture Editor Julie Bort is the Startups/Venture Desk editor for TechCrunch. You can contact or verify outreach from Julie by emailing julie.bort@techcrunch.com or via @Julie188 on X. View Bio April 30 San Francisco, CA StrictlyVC kicks off the year in SF. Get in the room for unfiltered fireside chats with industry leaders, insider VC insights, and high-value connections that actually move the needle. Tickets are limited. REGISTER NOW Most Popular Google quietly launched an AI dictation app that works offline Ivan Mehta Apple's foldable iPhone is on track to launch in September, report says Aisha Malik AI startup Rocket offers vibe McKinsey-style reports at a fraction of the cost Jagmeet Singh North Korea's hijack of one of the web's most used open source projects was likely weeks in the making Zack Whittaker In Japan, the robot isn't coming for your job; it's filling the one nobody wants Kate Park Embattled startup Delve has ‘parted ways’ with Y Combinator Anthony Ha Anthropic says Claude Code subscribers will need to pay extra for OpenClaw usage Anthony Ha
머코 데이터유출 메타 AI데이터훈련 보안