AI 프레임워크 체인릿에서 발견된 취약점 2개, “매우 위험”

인기 오픈소스 인공지능 프레임워크인 체인릿(Chainlit)에서 2개의 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공할 경우 공격자는 피해자의 클라우드 환경에 진입해 각종 데이터를 가져가는 것은 물론 클라우드 환경 자체를 장악할 수도 있다고 보안 기업 자프란(Zafran)이 경고했다.

체인릿?

체인릿은 일종의 파이썬 패키지다. 이걸 이용하면 인공지능 챗봇과 애플리케이션을 용이하게 구축할 수 있다. 오픈소스라 무료이며, 누구나 사용 가능하다. 그렇기 때문에 인기가 매우 높다. 수많은 기업들이 체인릿을 가져다가 자신들만의 인공지능 앱과 챗봇을 구축해 쓰고 있다. 각종 커스터마이징을 해도 되지만 체인릿의 UI와 백엔드를 그대로 사용하는 경우도 상당히 많다. 랭체인(LangChain)이나 오픈AI(OpenAI), 베드록(Bedrock), 라마인덱스(LlamaIndex) 등 다양한 도구 및 플랫폼과도 호환성이 높다. 

체인릿 그 자체로 별도의 인공지능 모델인 것은 아니다. 챗GPT나 제미나이, 라마 등 기존의 인공지능 모델들을 기반으로 애플리케이션이나 챗봇을 보다 쉽게 만드는 데 도움을 주는 도구들의 컬렉션이다. 이미 존재하는 인공지능을 보다 사용하기 편리한 서비스의 형태로 구현하는 데 필요한 장치라는 것이다. 기능적으로는 웹 UI와 백엔드 서버, 유명 LLM 프레임워크와의 연결성들을 제공한다. 매달 70만회 이상 다운로드 되며, 작년 한 해에만 500만회 이상의 다운로드 수를 기록했다.

취약점 2개

이번에 자프란에서 발견한 취약점은 CVE-2026-22218과 CVE-2026-22219다. 전자는 임의 파일 읽기로 이어질 수 있고, 후자는 서버 측 요청 조작 공격을 가능하게 한다. “다행히 아직까지 실제 공격에 활용된 적은 없는 것으로 보입니다. 하지만 조치를 취하지 않는다면 쉽게 익스플로잇이 돼 많은 피해가 있을 겁니다. 저희가 알아본 바에 의하면 대학과 금융 기관들도 적잖이 체인릿을 도입하고 있었습니다. 공격자들이 노리기 좋은 표적들이죠.” 자프란의 설명이다.

CVE-2026-22218은 사용자가 직접 조작한 엘레먼트(element) 객체의 경로를 제대로 검증하지 않아서 생기는 취약점으로, 누구나 서버 파일 시스템 내 임의 파일을 열람할 수 있게 한다. 엘레먼트 메타데이터를 조작한 후, 이를 정상적으로 보이는 메시지로 포장해 전송하면 체인릿이 이를 처리하면서 임의 파일을 읽어들인 결과까지 같이 응답으로써 내보낸다. 엘레먼트는 체인릿 환경 내 채팅 메시지에 따라붙는 ‘첨부 객체’다.

CVE-2026-22219는 ‘서버 측 요청 조작(SSRF)’ 취약점이다. “체인릿이 사용하는 SQL알케미(SQLAlchemy) 라이브러리와 관련되어 있습니다. 외부에서 전달된 입력값을, 서버 내부에서 URL 요청으로서 사용하게 되는 현상인데, 공격자가 이를 악용함으로써 내부 네트워크로 임의의 요청을 보낼 수 있게 됩니다. 그것이 어떤 요청이냐에 따라 공격자는 내부 서비스나 데이터에도 접근할 수 있습니다.”

문제는 이 두 가지 취약점을 연쇄적으로 익스플로잇 했을 때다. “먼저 CVE-2026-22218을 익스플로잇 해서 임의 파일을 읽을 수 있게 상황을 만듭니다. 그러면 환경 설정 파일을 통해 내부 IP와 서비스 주소 등을 파악할 수 있게 되죠. 인증 관련 정보도 획득하고요. 그 다음 CVE-2026-22219를 익스플로잇 해서, 방금 확보한 각종 데이터를 통해 파악한 내부 요소나 API, 메타데이터 등에 접근합니다. 그렇게 함으로써 민감 데이터의 소재를 빠르게 파악해 대량으로 유출시킬 수 있게 됩니다. 둘의 익스플로잇 난이도는 낮은 편이라, 이러한 공격 시나리오가 구현될 가능성은 충분합니다.”

체인릿의 조치

자프란은 취약점에 관한 정보를 체인릿의 개발사에 전달했고, 개발사는 이를 파악해 빠르게 조치를 취했다. “취약점을 제보한 건 작년 11월입니다. 그리고 약 한 달 후, 체인릿 개발사에서 두 가지 취약점을 해결한 버전인 2.9.4를 내놓았습니다. 체인릿 사용자들이라면 전부 이 최신 버전을 다운로드 받아 적용하는 게 안전합니다.”

개발사 측은 “엘레먼트 처리 로직을 강화하고, 내부 자원으로의 접근을 제한시켰다”고 발표했다. 전자는 CVE-2026-22218을 위한 것이고 후자는 CVE-2026-22219를 위한 것이다. 하지만 사용자들이 이 버전을 일일이 다운로드 받아 설치하지 않는다면 이러한 안전 조치는 아무런 효력을 발휘하지 못한다고 자프란은 강조한다. 2.9.4 버전을 받을 수 있는 곳은 PyPI와 깃허브다. 

인공지능 프레임워크들, 아직 결함 많아

이번에 체인릿에서 발견된 취약점들은 체인릿이라는 프레임워크에서만 나타나는 것이지만, 체인릿과 비슷한 기존 프레임워크들에서도 유사한 문제들이 끊임없이 발굴되고 있다. 특히 임의 파일 읽기 및 쓰기 취약점이나 SSRF, 인증 우회와 권한 상승, 내부 API 노출, 세션 탈취 등과 같은 유형의 취약점들은 체인릿만이 아니라 스트림릿(Streamlit), 그라디오(Gradio), 오픈웹UI(Open WebUI) 등에서도 발굴된 적이 있다.

이는 “LLM을 앱으로 쉽게 전환시킨다”는 체인릿 류 프레임워크의 기본 개념에 기인한 현상이기도 하다. LLM을 기반으로 한 앱들은 사용자가 자연어 형태로 입력하는 값을 명령으로 받을 수밖에 없는데, 그래서 사용자 입장에서는 매우 편리하지만, 그것을 처리하는 뒷단은 훨씬 복잡한 메커니즘을 가져갈 수밖에 없게 된다. 가장 먼저는 사용자가 입력한 자연어가 명령인지 아닌지부터 제대로 구분해야 하는데, 현대 인공지능은 아직 이 작업을 정교하게 해내지 못한다. 사용자가 LLM에 업로드 하는 파일을 검증하는 것에도 아직 기술적 어려움들이 존재한다. 

명령은 처리해야 하는데, 아직 일반 텍스트와 명령을 분간하지 못한다는 그 격차가 바로 현존하는 모든 LLM들이 해결해야 할 과제다. 이 때문에 간접 프롬프트 명령 주입 공격에 LLM들이 속수무책으로 당하는 것이기도 하고, 인공지능 활용을 돕는 프레임워크들에서 비슷한 취약점들이 돌아가면서 발견되는 이유이기도 하다.

이번에 체인릿에서 발견된 취약점들은, 얼마 지나지 않아 또 다른 비슷한 기능의 프레임워크에서 살짝 형태와 세부 내용만 바꾼 채 다시 나타날 가능성이 높다. 다행인 건 많은 보안 연구자들이 이미 이러한 상황을 인지하고 있으며, 다양한 프레임워크들이 집중 분석되는 중이라는 것이다. 다만 이러한 노력이 실제 성과로 이어지려면 사용자들의 실천(즉 패치 적용)이 반드시 따라야 한다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• ChainLeak: Critical AI framework vulnerabilities expose data and enable cloud takeover in Chainlit - Zafran, 2026년
• Flaws in Chainlit AI dev framework expose servers to compromise - CSO Online, 2026년
• Chainlit security flaws highlight infrastructure risks in AI apps - Infosecurity Magazine, 2026년
• AI framework flaws put enterprise clouds at risk of takeover - The Register, 2026년

해커원, 인공지능 보안 강화를 위한 세이프하버 발표

💡Editor’s Pick - 보안 연구자들, 인공지능을 마음껏 연구할 수 있도록 - 법적 분쟁에 휘말리지 않게 하자는 공개적 약속 - 들어오는 건 마음대로, 한 번 들어왔으면 엄격히 준수해야 인공지능 시스템을 강화하려는 보안 연구자들을 지원하기 위한 새 프레임워크가 발표됐다. 세계적인 버그바운티 플랫폼이자 공격적 보안 솔루션 기업인 해커원(HackerOne)이 출범시킨 것으로, 이름은

The Tech Edge문가용 기자