메르코 침해 사건: 4TB 분량의 음성 샘플 및 신분증 도난 – 공격자가 지금 할 수 있는 일들

2026년 4월 4일, 갈취 그룹 Lapsus$가 유출 사이트에 Mercor를 게시했습니다. 유출 데이터는 약 4테라바이트로, AI 훈련을 위해 데이터를 라벨링하고, 읽기 구절을 녹음하고, 검증 전화를 진행한 40,000명 이상의 계약자의 음성 생체 정보와 정부 발급 신분증이 함께 묶여 있습니다.
이번 침해가 다른 이유
대부분의 음성 유출은 두 가지 범주로 나뉩니다. 신원 매핑이 쉬운 콜센터 녹음이 아니면, 오디오 없이 신분증 문서만 유출되는 경우입니다. Mercor는 두 가지를 모두 결합했습니다. 계약자 온보딩 과정에서는 여권이나 운전면허증 스캔, 웹캠 셀카, 그리고 스크립트된 문구를 읽는 음성 녹음을 요구했습니다. 이 순서는 정확히 합성 음성 복제 서비스가 입력으로 필요로 하는 것입니다. 고품질 음성 복제에는 이제 약 15초의 깨끗한 기준 음성이 필요합니다. Mercor 녹음은 계약자당 평균 2~5분의 스튜디오급 깨끗한 음성에 검증된 신분증이 함께 제공됩니다.
공격자가 할 수 있는 일
이러한 위협 모델은 이미 실제로 문서화되어 있습니다:
- 은행 인증 우회: 여러 미국 및 영국 은행은 음성인식을 2단계 중 하나로 사용합니다. 챌린지 문구를 읽는 복제 음성이 오디오 게이트를 통과하면, 동일한 유출 데이터셋의 지식 질문만 남게 됩니다.
- 피해자 직장에 대한 비싱: 직원인 척 HR이나 재무부에 전화하여 급여를 다른 계좌로 보내거나, 송금을 요청하거나, 워크스테이션을 잠금 해제하도록 합니다. Krebs on Security는 2023년 이후 24건 이상의 확인된 사례를 나열합니다.
- 딥페이크 화상 통화 (Arup 템플릿): 2024년, Arup의 재무 직원이 공개 영상으로 만든 다중 인물 딥페이크 화상 통화 후 약 2,500만 달러를 송금했습니다. Mercor 유출은 스튜디오 음성과 검증된 신분증을 제공합니다.
- 보험 청구 사기: Pindrop은 2025년 동안 보험 콜센터에 대한 합성 음성 공격이 전년 대비 475% 증가했다고 보고했습니다.
- 로맨스 및 조상 사기: FBI IC3는 2026년 60세 이상 피해자의 손실이 23억 달러에 달했다고 기록했으며, 가장 빠르게 성장하는 범주는 긴급 사칭 전화였습니다.
내 음성이 악용되고 있는지 확인하는 방법
만약 2025년 동안 Mercor 또는 다른 AI 훈련 브로커에 음성 샘플을 업로드했다면, 음성을 유출된 비밀번호처럼 취급하세요. 음성을 교체할 수는 없지만, 음성이 잠금 해제하는 것을 변경할 수는 있습니다:
- 공개된 음성 발자취를 자체 감사하세요: YouTube, 팟캐스트 디렉토리, 오래된 Zoom 녹음에서 음성 샘플을 검색하세요. 가능한 것은 제거하세요.
📖 전체 출처 읽기: HN AI Agents
👀 See Also

2026년 LLM API 비용 비교: 자체 호스팅 vs. 클라우드 제공업체
레딧 사용자가 11개 제공업체의 1백만 토큰/일 LLM API 비용을 비교한 결과, vLLM을 사용한 자체 호스팅 비용은 1백만 토큰당 약 $0.05인 반면 GPT-4o는 입력/출력 토큰당 $5/$15로 나타났습니다.

AI로 FastTab 구축하기: X11용 맞춤형 작업 전환기
FastTab는 Zig와 OpenGL을 사용하여 X11의 Plasma 작업 전환기에서 발생하는 특정 성능 문제를 해결하며, Claude와 같은 AI 도구의 지원으로 개발되었습니다.

레딧 게시물에서는 노코드 창작형 AI의 내부 수리 루프에 대해 논의합니다.
레딧 게시물은 불가능한 기계적 구조나 왜곡된 해부학과 같은 상식적 오류를 처리하기 위해 사용자가 출력을 디버깅하는 대신 내부 수리 메커니즘이 필요하다고 주장합니다.

주의 게이팅: AI 메모리 시스템에서의 선택적 망각 과제
오픈클로우 봇을 위한 5계층 메모리 시스템을 구축 중인 개발자가 핵심 한계를 지적했습니다: 현재 접근법은 회상에 초점을 맞추고 있지만, 집중 작업 중 관련 없는 정보를 억제하는 메커니즘이 부족합니다. 이는 인간의 주의 게이팅과 유사합니다.