뉴스9. 아마존 베드락·랭스미스·SG랭 ‘보안 구멍’ 포착... 기업 기밀 유출 및 서버 장악 위험

 

기사 요약: 아마존 베드락, 랭스미스(LangSmith), SG랭(SGLang) 등 주요 생성형 AI 플랫폼에서 데이터 유출 및 원격 코드 실행(RCE)이 가능한 치명적인 보안 취약점이 발견되었다.

1. 아마존 베드락을 비롯한 생성형 AI 플랫폼에서 심각한 보안 취약점이 발견되었다. 특히 베드락은 외부 인터넷 접속은 차단되어 있지만 DNS 통신이 허용된 구조로 인해, 공격자가 이를 이용해 명령제어(C2) 채널을 만들고 내부 데이터를 외부로 유출할 수 있는 문제가 확인되었다.
2. 랭스미스에서는 URL 검증 부족으로 인해 악성 링크 클릭만으로 사용자 토큰과 계정 권한이 탈취될 수 있는 취약점(CVE-2026-25750)이 발견되었으며, 이를 통해 AI 기록과 내부 SQL 정보까지 노출될 수 있었다. 해당 취약점은 현재 패치가 완료된 상태다.
3. SG랭에서는 인증 없이 서버를 장악할 수 있는 Pickle 역직렬화 취약점이 발견되었으며, 일부는 심각도 9.8의 최고 위험 수준으로 평가되었다. 일부 취약점은 아직 패치되지 않아 사용자들의 주의가 필요하며, 전문가들은 AI 플랫폼들이 편의성 위주로 개발되면서 기본적인 보안이 부족하다고 지적했다.

개인 의견: 사용자의 편의를 위해 만든 AI개발 도구들이 기본적인 가이드 라인을 간과하여 이러한 사건들이 발생한 것 같다. 사용자들은 AI개발 도구를 온전하게 믿지 않고 자체적으로 AI개발 도구를 이용함으로써 마주할 수 있는 문제점들에 대해 고려해야 할 것이다.

 

참고1:

저 취약점 구체적인 내용 알려줘. 그리고 URL 파라미터를 주입하는 데 왜 사용자토큰과 계정 권한을 탈취하는 취약점이 확인됐는지?

사이트 → URL 값(baseUrl 등) 읽음 → 그 주소로 요청 보냄 → 결과 처리

해커가 링크 만듦→사용자 클릭(평범한 사이트처럼 보임)→시스템이 이걸 그대로 사용 →사용자 토큰, 인증 정보, 요청 데이터가 해커 서버로 같이 전송됨.

 

검증 미흡 발생 이유:

정상적인 경우 - 검증을 거치지만. 랭스미스는 검증 없이 바로 넘김.

정상=보낸 사람 확인하고 받음

취약=아무나 보내도 그냥 문 열어줌

 

참고2: 역직렬화 과정에서 코드가 실행돼서 서버가 털린다

보통서버: [요청 받음] → [로그인 확인] → [기능 실행]

SG랭: [요청 받음] → [역직렬화 실행] → [로그인 확인]

1. 해커가 서버에 데이터 보냄
2. 서버가 "데이터네?" 하고 바로 역직렬화
3. 이때 코드 실행됨
4. 로그인 체크는 아직 안 함

**CVE-2026-3059 / 3060-**Pickle 역직렬화를 통해 “아무 코드나 실행되는 취약점”

 

<용어정리>

랭서비스: AI 개발자들이 쓰는 서비스 이름

RCE(Remote Code Execution)(원격코드실행):

해커가 내 컴퓨터(서버)에서 자기 코드를 실행시키는 것

DNS: 인터넷 주소를 물어보는 시스템

C2: 해커가 원격으로 조종하는 서버. Command(명령) Control(제어)

샌드박스: AI를 가둬놓은 안전한 공간

VPC 모드: 외부 인터넷이랑 완전히 분리된 개인 네트워크. 인터넷 없음, DNS도 제한됨.

URL 파라미터: 주소 뒤에 붙는 값

baseUrl: 서버가 어디로 요청 보낼지 정하는 주소

SQL 쿼리: 데이터베이스에서 데이터 꺼내는 명령어

SG랭: AI 실행/서빙할 때 쓰는 프로그램(ehrn). AI 서버 돌리는 엔진

역직렬화(Pickle): 데이터를 복원하는게 아니라 “코드 실행 정보”도 포함

• 직렬화 → 데이터를 저장/전송용 형태로 바꾸는 것
• 역직렬화 → 다시 실행 가능한 상태로 복원

 

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=142709&page=1&kind=4