[보안뉴스 김형근 기자] 인공지능(AI) 인프라의 급격한 확산과 함께, 주요 기업들의 AI 시스템 도입의 핵심 기반을 위협하는 원격코드실행(REC) 취약점들이 대거 발견됐다.

보안 연구기관 올리고 시큐리티는 최근 vLLM와 SG랭을 포함해 메타, 엔비디아, 마이크로소프트(MS), 파이토치 등 주요 AI 프레임워크에서 일련의 위험한 RCE 취약점을 발견했다고 발표했다.


[자료: 올리고 시큐리티]

이 취약점들은 ‘섀도우MQ’라는 이름으로 명명됐으며, 제로MQ(ZMQ) 통신의 불안전한 구현과 파이썬의 피클 역직렬화의 결합에서 비롯된다.

이 위협이 특히 경고음을 울리는 이유는 코드 재사용 및 복사-붙여넣기 개발 관행을 통해 AI 생태계 전반으로 빠르게 확산됐기 때문이다.

올리고의 조사는 2024년 메타의 라마스택 분석에서 시작됐다. 여기서 ZMQ의 recv_pyobj() 메서드가 파이썬 피클 모듈을 사용해 데이터를 역직렬화하는 위험한 방식을 확인했다.

이러한 설정은 인증되지 않은 네트워크 소켓을 생성하며 역직렬화 과정에서 임의의 코드 실행을 허용하여 원격 공격자가 시스템을 침해할 수 있게 한다.

메타가 초기 취약점(CVE-2024-50050)을 패치한 후에도 연구진은 엔비디아의 텐서RT-LLM, vLLM, SG랭, 모듈러 맥스 서버 등 다수의 프레임워크에서 거의 동일한 취약점 패턴을 발견했다.

올리고의 코드 분석 결과, 전체 파일이 프로젝트 간에 복사되면서 보안 결함이 마치 바이러스처럼 확산된 사실이 드러났다.

이러한 AI 추론 서버는 GPU 클러스터에서 민감한 데이터를 처리하는 핵심 엔터프라이즈 인프라를 구동한다.

SG랭을 사용하는 조직에는 xAI, AMD, 엔비디아, 인텔, 링크드인, 오라클 클라우드, 구글 클라우드, 오라클 클라우드, MS 애저, AWS, MIT, 스탠포드 대학, UC 버클리 캠퍼스 등 주요 기술 기업들이 포함된다.

취약점 악용에 성공하면 공격자는 임의 코드 실행, 권한 상승, 모델 데이터 유출, 또는 암호화폐 채굴기 설치 등을 수행할 수 있다.

올리고 연구진은 공용 인터넷을 통해 암호화되지 않은 수천 개의 노출된 ZMQ 소켓을 확인했다. 그러나 MS의 사라티-서브나 SG랭은 불완전한 패치로 인해 여전히 취약한 상태로 남아있다.

조직들은 즉시 패치된 버전으로 업데이트하고, 신뢰할 수 없는 데이터와 함께 피클 사용을 피해야 한다.

또한 ZMQ 통신에 대한 인증을 구현하고 ZMQ 엔드포인트로의 네트워크 접근을 제한하는 것이 중요하다.

전문가들은 “이 사건은 AI 인프라의 급격한 발전 속도 뒤에 가려진 보안 설계의 근본적인 문제를 드러낸 것”이라고 풀이했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>