널리 사용되는 인공지능 관련 오픈소스 도구에서 발견된 초고위험도 취약점

요약 : 보안 외신 시큐리티위크에 의하면 인공지능 인프라에 영향을 줄만한 취약점이 토치서브(TorchServe)라는 도구에서 발견됐다고 한다. 보안 업체 올리고(Oligo)에서 제일 먼저 발견한 것으로, 해당 취약점에는 셸토치(ShellTorch)라는 이름이 붙었다. 셸토치의 공식 관리 번호는 CVE-2023-43654이며, 초고위험도로 분류됐다. 하지만 이 번호 아래에 포함된 취약점은 총 세 개다. 인증 과정을 무단으로 통과해 원격 코드 실행 공격을 실시할 수 있게 해 주는 취약점이라고 한다.


배경 : 토치서브는 파이토치(PyTorch)라는 머신러닝 프레임워크에 포함되어 있는 패키지로, 오픈소스로 배포되고 있다. 여러 기업들에서 인공지능을 도입하는 과정 중에 이 프레임워크를 활용하고 있으며, 따라서 토치서브 패키지 역시 널리 활용되고 있다. 파이토치의 한 달 다운로드 횟수는 3만 번 이상이다.

말말말 : “이 취약점들을 연쇄적으로 익스플로잇 하면 기업 내 인공지능 인프라를 완전히 장악할 수 있게 됩니다. 따라서 빠른 패치 적용이 필요합니다.” -올리고-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>