3줄 요약
1. AI 서버서 널리 사용되는 GPU 도구.
2. 각종 AI 서비스에 영향줄 수 있는 취약점.
3. 컨테이너툴킷 1.17.4와 GPU오퍼레이터 24.9.2로 업.

[보안뉴스 문가용 기자] 엔비디아의 GPU 도구들에서 발견된 고위험도 취약점이 공개됐다. CVE-2025-23359로, 익스플로잇에 성공할 경우 호스트 파일시스템에 침투해 코드 실행과 권한 상승, 디도스 등의 공격을 할 수 있게 된다.


[자료: gettyimagesbank.com]

GPU 도구들이란 컨테이너툴킷(Container Toolkit)과 GPU오퍼레이터(GPU Operator)를 말한다. 컨테이너툴킷은 오픈소스 소프트웨어 라이브러리로, GPU 자원을 효율적으로 소비하게 해 준다. GPU오퍼레이터는 GPU 관련 운영을 보다 간편하게 만들어 주는 도구다.

GPU는 인공지능 기술을 가동시키는 핵심 하드웨어이며, 두 도구는 인공지능 SaaS와 모델, 엔드포인트를 제공하는 업체들 사이에서 널리 사용된다.

취약점을 제일 먼저 발견해 엔비디아 측에 알린 보안 업체 위즈(Wiz)는 해당 취약점이 엔비디아 컨테이너툴킷 1.17.3 이하 버전과 GPU오퍼레이터(GPU Operator) 24.9.1 이하 버전에 영향을 준다며, 각각 1.17.4와 24.9.2 버전으로의 업데이트를 권고했다.

이번 취약점은 불과 이틀 전에 공개된 또 다른 취약점인 CVE-2024-0132로부터 파생했다. CVE-2024-0132 역시 위즈가 작년 발견했고, 초고위험도로 분류됐다. 엔비디아와 위즈가 이번 주 픽스를 배포했으나 불완전해서 CVE-2025-23359가 발동되는 것이다.

CVE-2024-0132 익스플로잇에 성공하면 호스트의 루트 파일시스템을 컨테이너에 마운트시킬 수 있게 된다. 피해자 서버 내 모든 파일에 공격자가 무제한 접근할 수 있게 된다는 의미로, 서버 완전 장악에 이를 수 있다. 인공지능 서비스 제공 업체 입장에서는 치명적일 수 있다.

위즈는 자사 블로그를 통해 “컨테이너 등 각종 인프라 기술의 발달로 복잡해지는 IT 환경을 완벽히 보호하는 건 대단히 어려운 일”이라며 “워낙 복잡해 아무리 경험 많은 전문가라도 한두 가지 중요 설정을 잊기 쉽다”고 설명한다. “따라서 취약점이 있다는 전제를 깔고 서비스와 앱, 관리 등을 기획하는 게 중요합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>