엔비디아 AI 툴킷 ‘심각한 결함’ 주의보

[애플경제 이윤순 기자] 엔비디아 AI컨테이너 툴킷의 심각한 결함(CVE-2025-23266)으로 인해 호스트 전체 장악이 가능해져 클라우드 기반 AI 서비스에 심각한 위험이 초래되고 있다.

보안업체 위즈(Wiz)의 사이버 보안 연구원들은 22일 ‘CVE-2025-23266’으로 식별되고 ‘NVIDIAScape’라는 별명이 붙은 심각한 결함을 발견했다. 이 결함은 공격자가 컨테이너 경계를 벗어나 호스트 머신에 대한 전체 루트 접근 권한을 획득할 수 있도록 허용하는 것이다.

취약점 실태와 자세한 작동 방식

이 버그는 1.17.7 버전에 이르기까지 모든 엔비디아 컨테이너 툴킷 버전에 영향을 미치는 것으로 전해졌다. CVSS 심각도 척도에서 9.0(심각) 등급을 받았다. 이 취약점은 쿠버네티스 클러스터에서 GPU 컨테이너를 관리하는 데 널리 사용되는 엔비디아 GPU 오퍼레이터 버전 25.3.0 이하에도 영향을 미친다.

또한 이 취약점은 공유 GPU 인프라에서 자체 AI 컨테이너를 실행할 수 있도록 하는 ‘관리형 AI 클라우드’ 서비스에 특히 심각한 영향을 미치고 있다. 이러한 멀티테넌트 환경에서는 단일 악성 컨테이너가 동일한 머신의 다른 사용자의 데이터와 모델을 손상시킬 수 있다는 분석이다.

‘Wiz’는 “이런 문제는 주요 클라우드 제공업체에서 사용하는 설정을 포함, 클라우드 환경의 약 37%에 영향을 미치는 것으로 추산된다”고 했다.

해당 취약점은 툴킷이 OCI(Open Container Initiative) 후크, 특히 ‘크리에이트 콘테이너’ 후크를 처리하는 방식에서 비롯되었다는 분석이다. 이 후크가 트리거되면 컨테이너 이미지에서 환경 변수를 상속받게 되며, 이는 악용의 가능성을 열어준다.

공격자는 ‘도커파일’(Dockerfile)에 ‘LD_PRELOAD’ 환경 변수를 설정하고, 악성 .so 파일을 포함시킴으로써 호스트 시스템의 권한이 있는 프로세스에 코드를 삽입할 수 있다.

엔비디아 권장 사항

이에 엔비디아는 보안 공지를 통해 해당 취약점을 확인했다. 그러면서 “권한 상승, 데이터 변조, 정보 유출 및 서비스 거부(DoS) 공격으로 이어질 수 있다”고 경고했다. 또한 컨테이너 툴킷 1.17.8 버전과 GPU 오퍼레이터 25.3.1 버전에서도 해당 취약점을 패치했다.

엔비디아는 “호스트가 인터넷에 연결되어 있는지 여부와 관계없이 모든 사용자에게 즉시 업그레이드할 것”을 권장하고 있다. 공격자는 소셜 엔지니어링, 감염된 컨테이너 이미지 또는 손상된 저장소를 통해 시스템에 접근할 수 있다. 만약 즉각적인 업데이트가 불가능한 시스템의 경우, 엔비디아는 문제의 핵심인 ‘enable-cuda-compat’ 후크를 비활성화할 것을 권장했다.

보안 팀은 특히 공유 GPU 환경에서 신뢰할 수 없거나 공개된 이미지로 빌드된 컨테이너를 실행하는 호스트에 대한 패치를 우선적으로 적용할 것을 권장하고 있다. 또한, 인터넷 노출 여부는 공격에 필수적이지 않다. 또한 “공격자는 소셜 엔지니어링이나 공급망 침투를 통해 악성 이미지를 배포할 수 있다는 점에 유의해야 한다”고 당부했다.

엔비디아 컨테이너 툴킷이 공격을 받은 것은 이번이 처음이 아니다. 2024년에도 ‘위즈 리서치’ 동일한 툴킷에 영향을 미치는 또 다른 컨테이너 이스케이프 취약점인 CVE-2024-0132를 발견했다. 전문가들은 “이러한 사고가 미래형 AI 오용뿐 아니라 기반 인프라 자체가 AI 시스템에 가장 즉각적인 위험을 초래한다는 점을 보여준다”고 경고했다.