Delve, 보안 준수 수행한 LiteLLM, 말웨어에 타격받아

인기 있는 AI 프로젝트인 LiteLLM이 소프트웨어 의존성을 통해 침입한 악성 소프트웨어에 의해 compromised되어 사용자의 자격 증명이 유출되었습니다. 악성 소프트웨어는 과학자 캘럼 맥마혼에 의해 발견되었으며, 영향을 받는 기기에서 운영 문제를 일으켰습니다. Delve로부터 보안 인증을 받았음에도 불구하고, 기존 보안 조치를 우회할 수 있는 악성 소프트웨어로 인해 해당 기준의 적절성에 대한 우려가 제기되었습니다.

Key Points

• Y Combinator 졸업생이 개발한 LiteLLM은 오픈소스 AI 프로젝트로, 매일 340만 번 다운로드되는 프로젝트입니다.
• Callum McMahon이 발견한 악성 소프트웨어는 소프트웨어 의존성을 통해 침입하여 사용자 자격 증명을 도난했습니다.
• 악성 소프트웨어의 부실한 코딩으로 인해 감염된 기기에서 즉시 운영 문제가 발생했습니다.
• LiteLLM은 Delve로부터 보안 규정 인증(SOC2, ISO27001)을 받았으나 이제 효과성에 대한 검토가 이루어지고 있습니다.
• LiteLLM 개발자들은 보안 기업 Mandiant와 협력하여 상황을 해결하기 위해 노력하고 있습니다.

Relevance

• 오픈 소스 소프트웨어에서 계속되는 보안 문제가 강조되고 있습니다. 특히 의존성이 중요한 AI 프로젝트에서 그러한 문제가 두드러지고 있습니다.
• 2025년에 Delve의 컴플라이언스 인증에 대한 검토는 외부 보안 검증의 신뢰성 및 인증 프로세스 내 잠재적 취약점에 대한 더 광범한 우려를 반영하고 있습니다.

LiteLLM 악성 소프트웨어 사건은 주요 오픈 소스 프로젝트를 포함한 소프트웨어 개발 시 견고한 보안 규정이 필요함을 강조합니다. 심각한 위협에도 노출될 수 있는 시스템들이 모두 취약하다는 것을 의미합니다.