무슨 일이 일어났나
2026년 3월 17일, 오픈소스 AI 파이프라인 플랫폼 Langflow에서 CVSS 9.3점의 치명적 취약점(CVE-2026-33017)이 공개됐습니다. 클라우드 보안 기업 Sysdig에 따르면, 공개 후 불과 20시간 만에 실제 공격이 시작됐습니다. 공개된 PoC(개념증명 코드)도 없이, 공격자들이 취약점 권고문만 읽고 직접 익스플로잇을 만들어낸 것입니다.
이 취약점은 Langflow 1.8.1 이하 모든 버전에 영향을 미칩니다. 인증 없이 원격에서 코드를 실행할 수 있는 심각한 결함입니다.
왜 위험한가 — 기술 상세
취약한 엔드포인트는 POST /api/v1/build_public_tmp/{flow_id}/flow입니다. 이름에서 알 수 있듯이 "public" 엔드포인트라 인증이 필요 없습니다. 문제는 이 엔드포인트가 data 파라미터를 받을 때, 사용자가 보낸 데이터(노드 정의에 포함된 Python 코드)를 그대로 exec() 함수에 전달한다는 것입니다. 샌드박싱이 전혀 없습니다.
쉽게 말하면, 아무나 HTTP POST 요청 하나를 보내면 서버에서 임의의 Python 코드가 실행됩니다. 세션 관리도, CSRF 토큰도, 다단계 인증도 없습니다. 단 한 번의 요청으로 끝나기 때문에 대규모 자동화 스캔이 쉽습니다.
20시간 만의 공격 — 타임라인
Sysdig가 관찰한 공격은 세 단계로 진행됐습니다.
| 단계 | 시간 | 활동 | IP 수 | |------|------|------|-------| | 1단계: 대량 스캔 | 공개 후 20시간 | 동일 페이로드로 인터넷 스캔 | 4개 | | 2단계: 정찰 | 공개 후 ~36시간 | 사전 준비된 인프라로 검증 후 페이로드 배포 | 1개 | | 3단계: 데이터 탈취 | 공개 후 ~48시간 | 키, 크리덴셜 탈취 | 1개 |
48시간 내 총 6개의 고유 IP에서 공격이 관찰됐습니다. 탈취된 정보에는 API 키와 크리덴셜이 포함되어 있어, 연결된 데이터베이스나 소프트웨어 공급망까지 2차 공격이 가능한 상황이었습니다.
지금 할 수 있는 대응법
Langflow를 사용 중이라면 다음을 즉시 확인하세요.
- Langflow 버전을 1.8.2 이상으로 업데이트 — 패치가 적용된 최신 버전으로 즉시 업그레이드합니다
- 공개 엔드포인트 접근 제한 — Langflow 인스턴스가 인터넷에 직접 노출되어 있는지 확인하고, 방화벽이나 VPN 뒤로 이동합니다
- 크리덴셜 로테이션 — 취약한 버전을 운영했다면, Langflow 서버에서 접근 가능했던 모든 API 키와 시크릿을 교체합니다
- 로그 확인 —
/api/v1/build_public_tmp/경로로의 비정상적인 POST 요청이 있었는지 접근 로그를 확인합니다 - 네트워크 모니터링 — 알 수 없는 외부 IP로의 아웃바운드 트래픽이 있었는지 확인합니다
참고