서버의 웅웅거리는 소리, 데이터센터의 깜빡이는 불빛… 보이지 않는 전쟁이 끊임없이 벌어진다는 사실을 쉽게 잊는다. 하지만 이번 주, 그 전쟁이 겉으로 드러나면서 모든 AI 개발자들이 정신 바짝 차려야 할 상황이 됐다.
해커들이 LiteLLM의 커다란 보안 구멍을 파고들고 있다. 대규모 언어 모델(LLM)을 쓰는 개발자들 사이에서 거의 필수품이 된 오픈소스 프로젝트다. 문제는 CVE-2026-42208, 사이버 범죄자들에게 ‘어서 들어오라’는 초대장 같은 SQL 주입 취약점이다. 최악은 로그인 없이도 침투할 수 있다는 점.
LiteLLM을 AI 모델의 최고 컨시어지로 생각하면 된다. OpenAI, Anthropic, Bedrock 같은 모델들을 하나의 깔끔한 인터페이스로 호출할 수 있게 해준다. 개발자들이 열광하는 이유는 간단하다. 수많은 AI 두뇌를 하나의 API로 관리할 수 있으니까. AI 시대의 만능 리모컨 같은 거다. GitHub에서 4만 5천 스타를 받은 인기 만점 도구지만, 제대로 보호하지 않으면 오히려 독이 된다.
구체적으로 어떤 공격인가? SQL 주입이다. 데이터베이스에 정보를 가져오라는 명령을 내리는데, 그 요청 안에 악성 명령을 몰래 끼워넣는 식. LiteLLM은 API 키 검증 과정에서 데이터베이스 쿼리를 문자열로 직접 붙이는 나쁜 버릇이 있었다. 공격자들은 이걸 이용해 특별한 ‘Authorization’ 헤더를 만들어 모든 LiteLLM API 경로에 보냈다. 그러면 데이터베이스가 속아서 비밀을 토해내는 거다. 어떤 비밀? 당신의 API 키, 가상 키, 마스터 키, 환경 변수, 설정 비밀 – AI 인프라의 왕국 열쇠들이다.
집 앞문 활짝 열어놓고 ‘귀중품 있습니다’ 팻말을 건 셈이다.
이 취약점을 파헤친 보안 연구팀 Sysdig에 따르면, 버그가 공개된 지 불과 36시간 만에 공격이 시작됐다. 산책이 아니라 전력질주다. 공격자들은 대충 훑는 게 아니라 수술 칼처럼 정밀했다. ‘/chat/completions’ 엔드포인트에 특수 제작한 요청을 보내고, ‘Authorization: Bearer’ 헤더도 무작위가 아니었다. API 키와 제공자 자격증명이 들어 있는 테이블을 정확히 노렸다. 디지털 금광 위치를 뻔히 아는 전문가들이다.
해커들은 영리했다. 초기 탐색 후 IP를 바꿔 추적을 피하고, 얻은 정보를 바탕으로 테이블 구조를 정밀 타깃으로 삼아 다시 공격했다. 광범위한 파괴에서 레이저 같은 절도행위로 업그레이드. 스크립트 키디가 아니라 조직적이고 계획적인 짓이다.
보이지 않는 사슬: 공급망 공격과 AI
더 불안한 건 LiteLLM이 최근 이미 표적이 됐다는 점이다. TeamPCP 해커들이 악성 PyPI 패키지를 풀어 인포스틸러를 퍼뜨렸다. Python 코드 배포 시스템을 노린 공급망 공격이다. 직접 취약점뿐 아니라 프로젝트 자체가 광범위한 타깃이 됐다. 이중 타격이다.
이 사건은 내가 주시해온 근본 변화를 강조한다. AI는 단순 소프트웨어가 아니다. 플랫폼 전환이다. 단순히 컴퓨팅 위에 애플리케이션을 쌓는 게 아니라, 지능적으로 컴퓨팅 자체가 되는 애플리케이션을 만든다. 인터넷이나 모바일 혁명처럼 새로운 플랫폼은 엄청난 보안 도전을 동반한다. 공격자들은 개별 앱보다 AI 기반 도구를 뚫는 게 훨씬 이득이라는 걸 깨달았다.
Sysdig은 공격자가 비밀이 있는 곳으로 직행했다고 지적했다. 타깃을 정확히 아는 강력한 신호다.
LiteLLM만의 문제가 아니다. 신호다. AI 모델이 금융부터 의료까지 핵심 인프라에 깊이 스며들면서, 이를 관리하는 도구의 취약점을 노리는 유인이 폭증할 전망이다. 데이터뿐 아니라 AI 시스템 열쇠를 향한 골드러시가 시작됐다.
이걸 무시할 여유 있나?
관리자들은 이미 1.83.7 버전에서 문자열 연결을 안전한 매개변수 쿼리로 바꿔 패치를 뿌렸다. 새는 댐을 메우는 디지털 작업이다. 문제는 여전히 구버전 코드로 돌아가는 인스턴스가 얼마나 많은가다. Sysdig은 취약한 LiteLLM 인스턴스를 이미 뚫린 걸로 보고, 모든 API 키, 가상 키, 제공자 자격증명을 돌려야 한다고 경고한다. 대규모 디지털 대청소, 아니 긴급 철거와 재건이다.
즉시 업그레이드 못 하는 팀들 – 솔직히 지금 정신없는 팀들 많다 – 을 위해 임시 방편이 있다. general_settings 아래 disable_error_logs: true 설정. 악성 입력 통로를 임시 잠그는 문단속이다. 완벽하진 않지만 패치까지 버틸 방패다.
결국 이건 기술 버그가 아니다. AI 개발의 야생 서부 시대 증상이다. 엄청난 힘의 시스템을 빛의 속도로 만들다 보니 보안이 따라가지 못한다. LiteLLM 사건은 기반이 튼튼해야 한다는 엄중한 경고다. AI 오케스트레이션 도구가 약하면 그 위에 쌓은 모든 게 위험하다.
마인드셋を変えよう. AI 시대 보안은 부가물이 아니라 핵심이다. ‘타격당할지’가 아니라 ‘언제, 얼마나 효과적으로’의 문제다. 위협 주체들은 이미 의지와 능력을 보여줬다. 미래는 왔다. 흥미진진하지만, 전에 없던 보안 경계가 요구된다.
🧬 Related Insights
- Read more: Agentic SOC: Security’s Shiny New Buzzword?
- Read more: Edge Decay: Attackers Are Breaching Your ‘Secure’ Firewall First
Frequently Asked Questions
What is LiteLLM? LiteLLM은 개발자들이 여러 대규모 언어 모델(LLM)을 하나의 통합 API로 호출할 수 있게 해주는 오픈소스 프록시이자 SDK다. 다양한 AI 모델을 애플리케이션에 쉽게 통합할 수 있다.
How was LiteLLM exploited? 해커들이 LiteLLM의 SQL 주입 취약점(CVE-2026-42208)을 이용했다. 특수 제작한 Authorization 헤더로 인증을 우회해 프록시 데이터베이스에 무단 접근, API 키와 비밀 정보를 훔칠 수 있었다.
Is my application vulnerable if I use LiteLLM?
1.83.7 이전 버전을 쓰고 있다면 취약할 가능성이 크다. 최신 버전으로 즉시 업그레이드하거나 (disable_error_logs: true 워크어라운드 적용) LiteLLM에 저장된 모든 민감 자격증명을 교체하라.
