메르코 침해 사건: 4TB 분량의 음성 샘플 및 신분증 도난 – 공격자가 지금 할 수 있는 일들

2026년 4월 4일, 갈취 그룹 Lapsus$가 유출 사이트에 Mercor를 게시했습니다. 유출 데이터는 약 4테라바이트로, AI 훈련을 위해 데이터를 라벨링하고, 읽기 구절을 녹음하고, 검증 전화를 진행한 40,000명 이상의 계약자의 음성 생체 정보와 정부 발급 신분증이 함께 묶여 있습니다.

이번 침해가 다른 이유

대부분의 음성 유출은 두 가지 범주로 나뉩니다. 신원 매핑이 쉬운 콜센터 녹음이 아니면, 오디오 없이 신분증 문서만 유출되는 경우입니다. Mercor는 두 가지를 모두 결합했습니다. 계약자 온보딩 과정에서는 여권이나 운전면허증 스캔, 웹캠 셀카, 그리고 스크립트된 문구를 읽는 음성 녹음을 요구했습니다. 이 순서는 정확히 합성 음성 복제 서비스가 입력으로 필요로 하는 것입니다. 고품질 음성 복제에는 이제 약 15초의 깨끗한 기준 음성이 필요합니다. Mercor 녹음은 계약자당 평균 2~5분의 스튜디오급 깨끗한 음성에 검증된 신분증이 함께 제공됩니다.

공격자가 할 수 있는 일

이러한 위협 모델은 이미 실제로 문서화되어 있습니다:

• 은행 인증 우회: 여러 미국 및 영국 은행은 음성인식을 2단계 중 하나로 사용합니다. 챌린지 문구를 읽는 복제 음성이 오디오 게이트를 통과하면, 동일한 유출 데이터셋의 지식 질문만 남게 됩니다.
• 피해자 직장에 대한 비싱: 직원인 척 HR이나 재무부에 전화하여 급여를 다른 계좌로 보내거나, 송금을 요청하거나, 워크스테이션을 잠금 해제하도록 합니다. Krebs on Security는 2023년 이후 24건 이상의 확인된 사례를 나열합니다.
• 딥페이크 화상 통화 (Arup 템플릿): 2024년, Arup의 재무 직원이 공개 영상으로 만든 다중 인물 딥페이크 화상 통화 후 약 2,500만 달러를 송금했습니다. Mercor 유출은 스튜디오 음성과 검증된 신분증을 제공합니다.
• 보험 청구 사기: Pindrop은 2025년 동안 보험 콜센터에 대한 합성 음성 공격이 전년 대비 475% 증가했다고 보고했습니다.
• 로맨스 및 조상 사기: FBI IC3는 2026년 60세 이상 피해자의 손실이 23억 달러에 달했다고 기록했으며, 가장 빠르게 성장하는 범주는 긴급 사칭 전화였습니다.

내 음성이 악용되고 있는지 확인하는 방법

만약 2025년 동안 Mercor 또는 다른 AI 훈련 브로커에 음성 샘플을 업로드했다면, 음성을 유출된 비밀번호처럼 취급하세요. 음성을 교체할 수는 없지만, 음성이 잠금 해제하는 것을 변경할 수는 있습니다:

• 공개된 음성 발자취를 자체 감사하세요: YouTube, 팟캐스트 디렉토리, 오래된 Zoom 녹음에서 음성 샘플을 검색하세요. 가능한 것은 제거하세요.