AI 요약
2026년 4월 4일, 악명 높은 해킹 그룹 Lapsus$가 AI 학습 플랫폼 Mercor를 해킹하여 컨트랙터 4만 명의 민감 정보를 유출했습니다. 이번 유출된 4TB 규모의 데이터는 단순한 개인정보를 넘어, 고화질 신분증 스캔본과 스튜디오 수준의 깨끗한 음성 녹음 데이터가 결합되어 있다는 점에서 보안 업계에 큰 충격을 주고 있습니다. 데이터 라벨링 및 AI 훈련을 위해 수집된 이 음성 데이터는 평균 2~5분 분량으로, 현재 15초의 음성만으로도 정교한 클로닝이 가능한 기술 수준을 고려할 때 범죄에 악용될 소지가 다분합니다. 이에 따라 유출 사고 발생 10일 만에 계약자들로부터 5건의 소송이 제기되었으며, 원고들은 회사가 음성 정보를 단순 학습용 데이터로 포장하여 영구적인 생체 식별자를 수집했다고 주장하고 있습니다. 이번 사건은 음성 인증을 사용하는 금융권과 기업의 인사 및 재무 부서를 겨냥한 정교한 딥페이크 사기로 이어질 가능성이 매우 높습니다.
핵심 인사이트
- 대규모 데이터 유출: 2026년 4월 4일, Lapsus$가 Mercor 소속 AI 컨트랙터 40,000명의 정보가 담긴 4TB 데이터를 유출함.
- 결합된 민감 정보: 유출된 데이터에는 여권 및 운전면허증 스캔본, 웹캠 셀피, 그리고 평균 2~5분 분량의 고품질 음성 녹음이 포함됨.
- 기술적 임계치 초과: 월스트리트 저널(2026년 2월 보도) 기준 고성능 음성 클로닝에 필요한 오디오는 15초이나, 이번 유출 데이터는 그 수십 배에 달함.
- 신속한 법적 대응: 유출 게시물 업로드 후 10일 이내에 데이터 수집 방식의 부당함을 지적하는 5건의 계약자 소송이 접수됨.
주요 디테일
- 유출 데이터의 특이성: 기존의 콜센터 녹음 유출이나 신분증 유출과 달리, 신원 정보와 생체 음성 정보가 일대일로 매칭되어 있어 즉각적인 '무기화'가 가능함.
- 금융권 보안 위협: 미국과 영국의 여러 은행이 여전히 음성 대조를 2차 인증 수단으로 사용하고 있어, 클로닝된 음성을 통한 계좌 탈취 위험이 실재함.
- 기업 대상 사기(Vishing): 2023년 이후 Krebs on Security에 보고된 20건 이상의 사례처럼, 인사팀을 속여 급여 계좌를 변경하거나 송금을 유도하는 공격에 활용될 수 있음.
- 딥페이크 영상 통화 악용: 2024년 홍콩 Arup 직원이 딥페이크 통화에 속아 2,500만 달러를 송금했던 사례와 유사한 고도화된 사기 시나리오가 우려됨.
- 데이터 수집의 기망성: 소송 원고들은 Mercor가 음성 데이터의 '생체 식별자'로서의 성격을 명확히 고지하지 않고 수집했다고 비판함.
향후 전망
- 법적 규제 강화: 음성 데이터를 단순 학습 자료가 아닌 '영구 생체 정보'로 취급하여 수집 및 보관을 엄격히 제한하는 법적 기준이 마련될 것으로 보임.
- 보안 인증 체계의 변화: 음성 클로닝 기술의 비약적 발전과 이번 대규모 유출로 인해 기존 음성 기반 인증 시스템의 신뢰성이 무너지고 새로운 인증 방식 도입이 가속화될 전망.
출처:hackernews