AI 게이트웨이 라이트LLM, 악성코드 공격 직후 보안 업체 '델브'와 결별 선언

AI 게이트웨이 솔루션 라이트LLM(LiteLLM)이 악성코드 공격에 노출된 지 일주일 만에, 보안 인증을 맡았던 스타트업 델브(Delve)와의 계약을 파기했다. 이번 결별은 라이트LLM의 오픈소스 버전이 자격증명 탈취 악성코드를 포함한 공격에 취약점을 드러낸 직후 이뤄져, 보안 사태에 대한 대응과 책임 소재에 대한 긴장감을 고조시켰다. 라이트LLM은 수백만 개발자가 사용하는 핵심 인프라로서, 이번 사건은 해당 플랫폼의 신뢰성에 직접적인 타격을 입혔다.

라이트LLM은 델브를 통해 SOC 2 Type II를 포함한 보안 컴플라이언스 인증을 두 차례 취득한 바 있다. 그러나 외부 보도에 따르면, 델브가 가짜 데이터를 생성하고 형식적인 검토만 수행하는 감사인을 활용해 고객사의 인증 과정을 처리했다는 의혹이 제기되고 있다. 이는 델브가 제공한 보안 인증의 실질적 유효성에 대한 근본적인 의문을 불러일으키며, 라이트LLM이 왜 갑작스럽게 파트너십을 종료하고 다른 업체를 통해 인증을 다시 받겠다고 선언했는지에 대한 배경을 제공한다.

이번 사태는 AI 인프라 시장에서 보안 컴플라이언스 인증 산업 전체에 대한 신뢰 위기를 촉발할 가능성이 있다. 라이트LLM은 즉각적인 결별 선언으로 위기 관리를 시도했지만, 공격 노출과 인증 업체 교체라는 연쇄적 사건은 해당 서비스의 보안 체계에 대한 사용자와 고객의 우려를 가중시킬 전망이다. 향후 라이트LLM의 새 보안 인증 과정과 델브를 둘러싼 의혹에 대한 추가 조사가 진행되며, AI 생태계의 보안 표준과 감사 프로세스에 대한 전면적인 재검토 압력이 높아질 수 있다.