한 사이버보안 연구진이 메타, 엔비디아, 마이크로소프트(MS)를 비롯해 vLLM, SG랭 같은 오픈소스 프로젝트 등 주요 AI 추론 서버 프레임워크에서 중대한 원격 코드 실행(RCE) 취약점을 밝혀냈다.
올리고 시큐리티(Oligo Security)에 따르면 이번 취약점의 특징은 전파 방식에 있다. 개발자들이 보안상 취약한 패턴이 포함된 코드를 여러 프로젝트에 복사해 사용하면서 동일한 결함이 여러 AI 생태계로 그대로 옮겨가는 상황이 발생했다는 것이다.
올리고 보안 연구원 아비 루멜스키는 “이번 취약점은 근본 원인이 모두 같았다. 보안 검증 없이 사용한 제로MQ(ZMQ)과, 임의 코드 실행 위험이 있는 파이썬 피클(Python pickle) 역직렬화로 인해 나타난 문제”라고 설명했다. 그는 “조사를 계속하자 프로젝트 간에 코드 파일이 그대로 복사돼 이동하면서 위험한 패턴이 저장소 간에 확산되고 있다는 점을 발견했다”라고 말했다.
루멜스키는 블로그 게시글에서 올리고가 지난 1년 동안 널리 사용되는 AI 프레임워크 전반에서 유사한 RCE 취약점을 지속적으로 발견해 왔다고 언급하며, 추론 생태계에 구조적 보안 공백이 존재한다고 지적했다.
코드 재사용으로 인한 오염 확산
올리고 연구진은 조사 과정에서 초기 문제가 메타의 라마 스택에서 노출된것으로 드러났다고 밝혔다. 해당 프레임워크는 제로MQ의 ‘recv-pyobj()’로 데이터를 받은 뒤 이를 파이썬 ‘pickle.loads()’에 그대로 전달하는 함수를 사용하고 있었고, 이 구조가 인증되지 않은 소켓을 통해 임의 코드 실행을 허용하는 취약점으로 이어졌다는 설명이다.
루멜스키는 “파이썬을 다뤄본 개발자라면 피클이 보안 목적에 설계된 기술이 아니라는 사실을 잘 알고 있을 것”이라며 “역직렬화 과정에서 임의 코드를 실행할 수 있기 때문에 폐쇄된 환경에서는 문제가 없지만, 네트워크에 노출될 경우에는 상황이 완전히 달라진다”라고 분석했다.
메타에서 발견된 취약 패턴은 엔비디아 텐서RT-LLM, vLLM, SG랭, 모듈러 맥스 서버(Modular Max Server) 등 다른 프레임워크에서도 반복적으로 확인됐다. 일부 코드에는 ‘vLLM에서 가져온 코드’라는 주석이 붙을 정도로 구조가 거의 동일했다.
올리고는 이를 ‘섀도우MQ(ShadowMQ)’ 패턴이라고 부르고 있다. 이는 새로 구현된 기능이 아니라, 복사·붙여넣기나 소폭 수정 과정에서 저장소 간을 옮겨 다니는 숨은 통신 계층 결함이라는 의미다. 이런 프레임워크가 AI 생태계 전반에서 널리 재사용되는 만큼, 취약점이 한 곳에서 발생하면 여러 하위 프로젝트로 확산되는 구조적 위험이 발생할 수 있다.
올리고는 2024년 9월 이 취약점(CVE-2024-50050)을 메타에 보고했고, 메타는 피클 사용 구문을 JSON 기반 직렬화 방식으로 신속히 교체해 문제를 수정했다. 이후 올리고는 동일한 패턴이 vLLM(CVE-2025-30165), 엔비디아 텐서RT-LLM(CVE-2025-23254), 모듈러 맥스 서버(CVE-2025-60455)에서도 반복되고 있음을 확인했으며, 해당 프로젝트들도 모두 대체 로직을 적용해 취약점을 해소한 상태다.
AI 인프라에서 이 문제가 중요한 이유
이번 취약점이 발견된 추론 서버는 기업용 AI 스택의 핵심 기반을 이루며, 민감한 프롬프트와 모델 가중치, 고객 데이터를 처리한다. 올리고는 공개 인터넷에서 수천 개의 제로MQ 노출 소켓을 확인했으며, 이 중 일부는 실제 추론 클러스터와 연결된 것으로 파악됐다.
취약점이 악용될 경우 공격자는 GPU 클러스터에서 임의 코드를 실행하거나 권한을 상승시키고, 모델 또는 고객 데이터를 탈취하거나 GPU 채굴기를 설치하는 등 다양한 공격을 수행할 수 있다. 이는 AI 인프라 자산이 리스크 요소로 변할 수 있음을 시사한다.
루멜스키는 특히 SG랭이 xAI, AMD, 엔비디아, 인텔, 링크드인, 커서, 오라클 클라우드, 구글 클라우드 등 여러 대기업에서 이미 도입한 상태라고 설명했다.
올리고는 메타 라마 스택 v0.0.41, 엔비디아 텐서RT-LLM 0.18.2, vLLM v0.8.0, 모듈러 맥스 서버 v25.6 이상의 패치 버전으로 업그레이드할 것을 권고했다. 또한 신뢰할 수 없는 데이터에 피클을 사용하지 않고, ZMQ 기반 통신에 HMAC과 TLS 인증을 적용하며, 개발팀을 대상으로 관련 보안 위험 교육을 강화하는 것이 필요하다고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: AI 추론 프레임워크에서 복사된 취약점 발견···‘메타·엔비디아·MS 등 영향’
Source: News