Meta, Nvidia, Microsoft AI 프레임워크에서 치명적인 결함 노출

(퍼플렉시티가 정리한 기사)

Meta, Nvidia, 그리고 Microsoft의 인공지능 추론 엔진에 영향을 미치는 심각한 보안 취약점이 사이버 보안 연구원들에 의해 발견되었으며, 광범위한 코드 재사용을 통해 AI 생태계 전반에 전파된 시스템적 결함을 노출시켰습니다.

보안 회사 Oligo Security가 목요일에 공개한 이 취약점들은 모두 연구원들이 “ShadowMQ”라고 부르는 패턴, 즉 ZeroMQ 메시징 라이브러리와 Python의 pickle 역직렬화 모듈의 안전하지 않은 사용에서 비롯되었습니다. 이 결함들은 네트워크 액세스 권한을 가진 공격자가 AI 추론 서버에서 임의의 코드를 실행할 수 있게 하여, 민감한 데이터를 침해하거나 독점 모델을 훔치거나 GPU 클러스터에 암호화폐 채굴 프로그램을 설치할 가능성이 있습니다.

코드 재사용은 위험을 증폭시킨다

보안 문제는 CVE-2024-50050으로 식별된 Meta의 Llama 대규모 언어 모델 프레임워크의 취약점으로 거슬러 올라가며, 회사는 10월에 이를 패치했습니다. 이 결함은 노출된 네트워크 소켓을 통해 Python의 pickle 모듈로 수신 데이터를 역직렬화하기 위해 ZeroMQ의 recv_pyobj() 메서드를 사용하는 것과 관련이 있었습니다. 이는 악의적인 데이터가 처리될 때 원격 코드 실행을 가능하게 하는 위험한 조합입니다.

Oligo Security 연구원 Avi Lumelsky는 동일한 안전하지 않은 패턴이 직접적인 코드 복사를 통해 여러 주요 AI 프레임워크로 확산되었음을 발견했습니다. “코드 파일이 프로젝트 간에 복사되었으며, 때로는 한 줄 한 줄 그대로 복사되어 한 저장소에서 다음 저장소로 위험한 패턴을 전달했습니다”라고 Lumelsky는 말했습니다. 예를 들어, SGLang의 취약한 코드는 vLLM에서 각색되었고, Modular Max Server는 두 프로젝트 모두에서 로직을 차용하여 코드베이스 전반에 걸쳐 결함을 효과적으로 영속시켰습니다.

광범위한 영향, 엇갈린 반응

이 취약점들은 영향을 받는 플랫폼 전반에 걸쳐 여러 CVE 식별자가 할당되었습니다. NVIDIA TensorRT-LLM(CVE-2025-23254, CVSS 점수 8.8)은 버전 0.18.2에서 수정되었습니다. vLLM 프로젝트(CVE-2025-30165, CVSS 점수 8.0)는 기본적으로 V1 엔진으로 전환하여 문제를 해결했지만, V0 엔진에서는 취약점이 여전히 수정되지 않았습니다. Modular Max Server(CVE-2025-60455)도 패치를 출시했습니다.

그러나 Oligo의 공개에 따르면, Microsoft의 Sarathi-Serve는 여전히 패치되지 않았으며, SGLang은 불완전한 수정만 구현했습니다. 이 취약점들은 다중 노드 배포에 영향을 미치며, 공격자가 주요 호스트를 침해할 경우 전체 AI 추론 클러스터로 확대될 수 있습니다.

Oligo는 공개 인터넷에서 수천 개의 노출된 ZeroMQ 소켓을 발견했으며, 그 중 일부는 취약한 추론 클러스터에 연결되어 있어 보안 공백의 긴급성을 강조하고 있습니다. Lumelsky는 “코드 재사용에 안전하지 않은 패턴이 포함되면, 그 결과는 빠르게 외부로 파급됩니다”라고 경고했습니다.