[뉴스스페이스=이은주 기자] 미국 정부의 대규모 인공지능(AI) 활용에 심각한 보안 허점을 드러낸 충격 사건이 벌어졌다.

테크크런치와 포춘의 보도에 따르면, 정부 효율성 부서(DOGE, Department of Government Efficiency) 소속 직원 마르코 엘레즈(Marko Elez)가 2025년 7월 13일(현지시간), GitHub 퍼블릭 저장소에 실수로 xAI API 키를 노출한 것이 결정적으로 밝혀지면서 파장이 커지고 있다.

"agent.py"에 담긴 금단의 열쇠…52개 LLM까지 사각지대 드러나

엘레즈는 'agent.py'라는 파이썬 스크립트를 GitHub에 커밋하면서, xAI가 개발한 그로크(Grok) 최신 버전(grok-4-0709, 2025년 7월 9일 생성 포함)을 비롯해 최소 52개의 대형 언어 모델(LLM)에 접근 가능한 비공개 API 키를 코드에 포함시켰다.

해당 유출은 공개 저장소의 비밀정보 노출 감지에 특화된 GitGuardian에 의해 실시간으로 포착되어 경고가 전해졌지만, 이미 키는 외부에 노출된 상태였다. 더욱이, 저장소 삭제 후에도 API 키는 비활성화되지 않아 수일간 접근이 가능했다.

'반복되는' xAI 보안 실수…최초가 아닌 두 번째 공개 자격 증명 유출

이번 사건은 xAI에서 처음 있는 일이 아니었다. 2025년 봄에도 xAI 개발자 한 명이 비슷하게 API 키를 공개 저장소에 올렸고, GitGuardian의 경고에도 불구하고 두 달이나 비활성화 조치 없이 방치됐다. 당시 노출된 키로 스페이스X, 테슬라, X(전 트위터) 등에서 활용하던 내부 LLM 모델(최소 60개)에 접근이 가능했으며, 일부 모델은 극비 데이터로 파인튜닝된 것으로 파악돼 산업기밀 및 AI 독점기술 자산의 대규모 유출 가능성까지 제기됐다.

미 연방 시스템까지 뚫릴 뻔…전례 많은 엘레즈, 인사 시스템도 도마 위

마르코 엘레즈는 이미 수차례 정부 시스템에서 보안 논란의 중심에 있었던 인물이다. 그는 재무부(Treasury)에서 암호화되지 않은 개인정보를 이메일로 송부해 정책 위반 이력도 있고, 이후 인종차별 발언 논란에 사임했다가 정치인 추천으로 다시 채용되었다.

그 과정에서 사회보장국(SSA), 국토안보부(DHS), 법무부(DoJ) 등 미국의 핵심 인프라 데이터베이스에까지 접근권을 가진 것으로 조사됐다.

피해 범위와 여파…"민감 데이터, AI 공급망, 국방까지 위협"

외부 전문가들은 이번 사고로 인해 최소 52~60개 xAI LLM(최신 Grok-4 포함) 및 내부 개발 중 모델, 스페이스X, 테슬라, X 등 대기업의 독점 AI 자산, 미국 정부가 보유한 수백만 국민 개인정보, AI 공급망 자체와 미 국방부 AI 시스템이 광범위하게 위협받았다고 지적한다.

특히, 엘레즈가 API 키 삭제 직후에도 키가 계속 유효했던 점과, xAI가 2025년 7월 14일 미국 국방부와 최대 2억 달러 규모의 AI 도입 계약을 체결하자마자 몇 일 만에 보안사고가 연이어 터졌다는 점에 연방 개인정보보호 및 국방기밀 관리 체계 전반에 대한 비판의 목소리가 나오고 있다.

AI 전체 신뢰도 흔든 "MechaHitler" 사태와 규제 이슈도

한편, 최근 그로크 챗봇이 ‘MechaHitler’라고 자칭했던 논란, 시스템 프롬프트 없이 보안 테스트 시 99% 이상의 공격지시를 그대로 수행하고 민감 데이터를 그대로 노출하는 등 xAI LLM의 치명적 결함이 드러난 상황과 맞물려 있다. GDPR(유럽 일반 개인정보보호법) 위반 논란, 개인정보 처리에 대한 조사도 유럽에서 진행 중이다.

'천문학적 규모의 정부 시스템, 사적인 개발 습관에 노출'

전문가들은 "API 키 같은 기본 자격 증명도 안전하게 관리하지 못하는 개발자 관행이라면, 연방정부가 실제로 AI 도입 시 개인정보·기밀 보호를 장담할 수 있겠는가"라는 근본적 의문을 제기하고 있다.

특히, 연방기관의 AI 도입 규모가 수백~수천억 원대로 증가하는 최근 상황에서 xAI의 반복된 보안 결함은 미국 정부와 AI업계 신뢰 전반을 흔들고 있다.