[박찬 기자]
메타로부터 143억달러(약 20조원)의 대규모 투자를 유치한 인공지능(AI) 데이터 라벨링 스타트업 스케일 AI가 심각한 보안 관리 허점을 드러냈다.
비즈니스 인사이더는 24일(현지시간) 내부 계약자와 유출된 문서를 인용, 스케일 AI가 구글과 메타, xAI 등 주요 고객사와 관련된 기밀문서를 누구나 열람할 수 있는 구글 독스(Google Docs) 형태로 관리해 왔다고 보도했다.
이에 따르면, 스케일 AI는 최소 24만명의 외부 계약자들과의 협업 효율성을 이유로 내부 업무와 고객사 프로젝트를 '공개로 설정된' 구글 문서로 공유해왔다. 이들 문서 중 다수는 '기밀(confidential)'로 표시되어 있지만, 링크만 있으면 누구든 열람과 편집이 가능한 것으로 전해졌다.
 |
(사진=셔터스톡) |
메타로부터 143억달러(약 20조원)의 대규모 투자를 유치한 인공지능(AI) 데이터 라벨링 스타트업 스케일 AI가 심각한 보안 관리 허점을 드러냈다.
비즈니스 인사이더는 24일(현지시간) 내부 계약자와 유출된 문서를 인용, 스케일 AI가 구글과 메타, xAI 등 주요 고객사와 관련된 기밀문서를 누구나 열람할 수 있는 구글 독스(Google Docs) 형태로 관리해 왔다고 보도했다.
이에 따르면, 스케일 AI는 최소 24만명의 외부 계약자들과의 협업 효율성을 이유로 내부 업무와 고객사 프로젝트를 '공개로 설정된' 구글 문서로 공유해왔다. 이들 문서 중 다수는 '기밀(confidential)'로 표시되어 있지만, 링크만 있으면 누구든 열람과 편집이 가능한 것으로 전해졌다.
유출된 85개의 구글 문서에는 수천 페이지에 달하는 스케일 AI의 고객사 관련 프로젝트 자료가 담겨 있었으며, 그 내용은 상당히 민감한 정보로 구성됐다고 알려졌다.
먼저 구글과 관련된 문서에는 AI 챗봇 '바드(Bard)'의 성능을 개선하기 위해 챗GPT를 참고한 전략과 작업 지침이 포함돼 있었다. 또, 바드가 복잡한 질문에 제대로 답하지 못하는 문제를 해결하기 위해 스케일 AI 계약자들이 수행해야 할 구체적인 개선 방안이 담겨 있었고, 일부 문서에는 구글 로고가 그대로 노출돼 익명성도 지켜지지 않았다.
메타와 관련된 문서에서는 생성 AI 훈련용 음성 데이터가 담긴 오디오 파일 링크와 함께, '좋은 예'와 '나쁜 예'를 기준으로 AI의 음성 표현력을 향상하기 위한 내부 교육 자료가 확인됐다. 이 외에도 메타가 진행 중인 21개의 생성 AI 프로젝트에 대한 세부 정보도 포함돼 있었다.
또 기존에 보도된 xAI의 '프로젝트 실로폰(Project Xylophone)'도 이를 통해 유출된 것으로 확인됐다. 이는 AI의 대화 능력을 강화하기 위한 훈련 지침이 포함됐다.
뿐만 아니라 일부 문서에는 스케일 AI 계약자의 이메일 주소, 실명, 부정행위 의심 여부 등의 민감한 개인정보가 포함된 스프레드시트가 공개 상태로 방치됐다. 일부 계약자들은 "개인정보가 누구나 열람 가능한 상태였다는 사실을 전혀 몰랐다"라며 놀라워했다.
보안 전문가들은 이런 관행이 해킹 피해로 이어진 정황은 없지만, 사이버 공격·계약자 사칭·악성 코드 업로드 등의 위협에 노출될 수 있다고 경고했다.
논란이 커지자 스케일 AI는 성명을 통해 "데이터 보안을 매우 중요하게 생각하며 철저한 조사를 진행 중"이라며 "스케일이 관리하는 시스템에서 문서를 공개 공유할 수 있는 기능을 비활성화했다"라고 밝혔다. 이어 "기밀 정보를 보호하기 위한 기술적·정책적 보안 체계를 지속 강화하겠다"라고 덧붙였다.
이번 사태가 발표되기 전부터 구글, 오픈AI, xAI 등 주요 고객사들은 정보 노출을 이유로 스케일 AI 계약을 중단해 왔다. 여기에 이번 폭로를 통해 사업에 심각한 타격을 입는 것은 물론, 법적인 문제도 발생할 수 있다는 분석이다.
스케일 AI는 블로그를 통해 "우리는 독립적이고 중립적인 파트너"라며 "고객의 신뢰는 항상 최우선"이라는 입장을 재차 강조했다.
박찬 기자 cpark@aitimes.com
<저작권자 Copyright ⓒ AI타임스 무단전재 및 재배포 금지>