랭플로우(Langflow) 첫 KEV 등재, AI 에이전트도 뚫렸다

랭플로우 공격 캠페인부터 CISA KEV 등재, 패치 마감시한까지 이어지는 타임라인 인포그래픽

AI로 업무 자동화 에이전트를 만들어본 적 있다면 주목할 소식입니다. AI 에이전트 제작 도구 ‘랭플로우(Langflow)’가 지난 7일(현지시간) 미국 사이버보안청(CISA)의 KEV(실제 공격이 확인된 취약점) 목록에 처음 이름을 올렸습니다.

AI 에이전트 개발 플랫폼이 KEV에 등재된 건 창설 이래 이번이 처음입니다. 어도비 콜드퓨전과 줌라(Joomla) 확장 프로그램 2종도 함께 올라, 연방기관은 바로 내일인 7월 10일까지 이 4건을 모두 패치해야 합니다.

랭플로우에 등재된 결함(CVE-2026-55255)은 인증받은 사용자가 다른 사람의 ‘플로우(작업 흐름) ID’만 알면 그 사람 권한으로 작업을 대신 실행할 수 있게 되는 권한 우회 결함입니다. 보안업체 사이드그(Sysdig)에 따르면 6월 22일부터 25일 사이 한 공격자가 이 결함을 원격코드실행 결함과 엮어 특정 서버를 공격, LLM API 키와 AWS 자격증명을 빼갔습니다.

타임라인으로 짚어보는 랭플로우 공격 한 달

  • 6월 22일~25일: 공격자(IP 45.207.216.55)가 권한 우회 결함과 원격코드실행 결함을 함께 써서 인터넷에 노출된 랭플로우 서버를 공격, LLM·클라우드 자격증명을 탈취.
  • 6월 27일: 별도의 줌라 확장 프로그램(Page Builder CK)에서 웹셸을 심는 공격이 포착됨.
  • 7월 1일: 어도비가 콜드퓨전 등에서 CVSS 10.0 결함 7건을 패치 공개, 사이드그는 ‘완전 자율 에이전트형 랜섬웨어’ 사례 ‘JADEPUFFER’를 처음 공개.
  • 7월 7일: CISA가 위 4개 취약점을 KEV에 일괄 등재. 랭플로우는 AI 에이전트 플랫폼으로는 최초 등재 사례.
  • 7월 10일(내일): 연방기관 패치 마감시한(BOD 26-04 기준).

이번에 등재된 취약점 4종

CVE 제품 CVSS 유형
CVE-2026-48282 어도비 콜드퓨전 10.0 경로 순회 → 원격코드실행
CVE-2026-48908 줌샤퍼 SP Page Builder(줌라 확장) 10.0 인증 없는 파일 업로드 → RCE
CVE-2026-56290 줌락 Page Builder CK(줌라 확장) 10.0 접근통제 미비 → RCE
CVE-2026-55255 랭플로우(Langflow) 6.1(CISA) / 9.9(KEVIntel) 권한 우회(IDOR)

콜드퓨전 결함은 공개 몇 시간 만에 인도발 IP에서 공격 시도가 기록됐고, 줌라 확장 2종은 인증 없이 파일을 올려 관리자 계정을 새로 만들 수 있는 결함입니다.

CVSS 6.1인데 왜 더 위험하다고 하는 걸까

같은 랭플로우 결함을 두고 CISA는 6.1점, 보안 인텔리전스 업체 KEVIntel은 9.9점을 매겼습니다. 점수가 이렇게 갈리는 이유는 이 결함이 ‘한 조직 안의 다른 사용자 계정까지 넘나든다’는 점을 얼마나 무겁게 보느냐의 차이입니다.

이 결함이 까다로운 건 겉보기엔 정상적인 API 요청과 구분이 안 된다는 점입니다. 원격코드실행 결함은 비정상 코드가 주입돼 탐지 도구가 잡아내기 쉽지만, 이번 권한 우회 결함은 ‘남의 플로우 ID를 하나 잘못 넣은’ 정상 요청처럼 보입니다. 사이드그의 마이클 클락은 “AI 오케스트레이션 플랫폼 자체가 자격증명의 보물창고”라고 설명했는데, 랭플로우 같은 도구는 원래부터 여러 AI 모델·클라우드 서비스·내부 API에 접근할 권한을 갖도록 설계돼 있기 때문입니다. 실제로 7월 1일 공개된 JADEPUFFER 사례에서는 AI 에이전트가 사람 개입 없이 서버에 침투해 데이터베이스 설정 항목 1,342개를 암호화하고 복구키도 남기지 않은 채 사라졌습니다.

이 사건이 남긴 질문 — AI 에이전트 보안, 이대로 괜찮을까

CVSS 점수만 보고 패치 우선순위를 정하면 안 된다는 게 첫 번째 교훈입니다. 점수가 낮아 보여도 KEV 목록에 오른 결함은 이미 실제 공격에 쓰였다는 뜻입니다. 두 번째로, 랭플로우가 최근 1년 새 KEV급 결함을 일곱 번째로 낸 도구라는 점도 눈여겨볼 만합니다. AI 에이전트 플랫폼이 기업 인프라 깊숙이 자리 잡을수록, 이런 도구의 보안은 서버 한 대의 문제가 아니라 그 서버가 접근할 수 있는 모든 클라우드 자원의 문제가 됩니다. AI 에이전트 도구를 노리는 공격은 이번이 마지막이 아닐 가능성이 큽니다.

지금 확인할 점 — 랭플로우·줌라·콜드퓨전 대응

  • 랭플로우 사용자는 1.9.2 이상으로 업데이트하고, 침해 흔적이 없어도 저장된 API 키·클라우드 자격증명을 새로 발급받으세요.
  • 줌라 운영자는 SP Page Builder 6.6.2 이상, Page Builder CK 3.6.0 이상으로 업데이트하고 낯선 관리자 계정을 확인하세요.
  • 콜드퓨전 서버가 인터넷에 노출돼 있다면 어도비의 7월 1일자 패치를 최우선 적용하세요.

출처

댓글 남기기