수백만 AI 에이전트, 오픈소스 패키지의 치명적 취약점에 위협받아

개요

전 세계 수백만 개의 AI 에이전트와 도구가 중요한 취약점에 의해 위협받고 있습니다. 이 취약점을 이용하면 해커가 해당 서버에 침입해 민감한 데이터와 제3자 계정에 대한 자격 증명을 탈취할 수 있다고 보안 연구원이 경고했습니다.

이 취약점은 Starlette에 존재합니다. Starlette는 개발자가 주당 3억 2500만 건의 다운로드를 기록한다고 밝힌 오픈소스 프레임워크입니다. Starlette를 필요로 하는 수천 개의 다른 오픈소스 프로젝트도 동일하게 취약합니다. 이 프레임워크는 ASGI(Asynchronous Server Gateway Interface)의 구현체로, 대량의 요청을 효율적으로 동시에 처리할 수 있게 해줍니다. Starlette는 FastAPI와 파이썬 애플리케이션에서 서비스를 구축할 때 널리 사용되는 다른 프레임워크들의 기반이 되며, 그 외에도 많은 프로젝트에서 활용됩니다.

악용이 쉬워 수백만 대 서버가 노출

ASGI와 그 파생인 Starlette는 MCP(Model Context Protocol)를 실행하는 서버에 접근할 수 있습니다. MCP는 주요 AI 제공업체의 에이전트가 사용자 데이터베이스, 이메일·캘린더 계정, 그 밖의 다양한 외부 자원에 접근하도록 허용합니다. 이러한 외부 시스템과 연결하기 위해 MCP 서버는 각각의 자격 증명을 저장하고 있어, 공격자에게는 매력적인 표적이 됩니다.

CVE‑2026‑48710으로 추적되는 이 취약점은 BadHost라는 이름으로 알려져 있으며, 거의 모든 방화벽이 제대로 구성되지 않은 시스템을 대상으로 손쉽게 악용될 수 있습니다. FastAPI 외에도 vLLM, LiteLLM 등 널리 사용되는 패키지들이 영향을 받습니다. BadHost는 1.0.1 이전 버전의 Starlette에 존재하며, 해당 버전은 금요일에 출시되었습니다.

“HTTP Host 헤더에 단 한 글자를 삽입하면 Starlette( FastAPI의 라우팅 핵심)의 경로 기반 인가를 우회할 수 있습니다,” 라고 Secwest 연구진이 밝혔습니다. “FastAPI를 통해 이 원시적인 취약점(현재 CVE‑2026‑48710으로 추적되고 발견자에 의해 BadHost라 명명됨)은 파이썬 AI 툴링 생태계의 큰 부분에 영향을 미칩니다: 버그가 발견된 vLLM, LiteLLM, Text Generation Inference, 대부분의 OpenAI‑shim 프록시, MCP 서버, 에이전트 하네스, 평가 대시보드, 그리고 모델 관리 UI 등.”

BadHost는 10점 만점에 7점의 심각도 등급을 받았습니다. Secwest는 이 등급이 Starlette에 의존하는 다른 앱을 사용하는 사람들에게 미치는 위협을 “실질적으로 과소평가하고 있다”고 주장했습니다. 이를 발견한 보안 업체 X41 D‑Sec는 이 취약점을 “치명적인 심각도”라고 평가했습니다. X41 D‑Sec는 동료 보안 업체 Nemesis와 협력해 온라인 스캐너를 만들었으며, 이를 통해 특정 서버가 취약한지 여부를 확인할 수 있습니다.