AI 워크플로우 플랫폼을 노리는 새로운 위협 - Langflow의 심각한 인증 결함 ⚠️

요즘 오픈소스 기반 AI 플랫폼이 정말 많이 쓰이고 있는데요,
이런 편리함 뒤에는 의외로 큰 보안 구멍이 숨어 있기도 합니다.
최근 미국 CISA(사이버보안 및 인프라 보안청)가 공개한 정보에 따르면,
Python 기반의 오픈소스 플랫폼인 Langflow에서 치명적인 인증 결함이 발견되어
KEV(지속적으로 악용되는 취약점) 목록에 추가되었다고 해요. 😨

---

Langflow란?

Langflow는 에이전트 기반 AI(agentic AI) 환경에서 사용되는 인기 도구로,
다양한 AI 구성 요소를 시각적 인터페이스로 연결해 에이전트를 만들 수 있게 해주는 툴입니다.
개발자들이 LangChain 같은 프레임워크 위에서 빠르게 실험하고 배포할 수 있게 해주죠.
문제는, 이렇게 혁신적인 플랫폼도 보안적으로 완벽하지 않다는 점입니다.

---

CVE-2025-3248 취약점: 인증이 없다?! 🔓

이번에 보고된 취약점은 CVE-2025-3248로, 무려 CVSS 점수 9.8을 기록할 정도로 심각한 이슈입니다.
Langflow의 /api/v1/validate/code 엔드포인트에서 인증 없이 exec() 함수로 코드가 실행되는 구조가 있었기 때문이에요.

쉽게 말해, 외부에서 이 API를 호출하면 인증도 없이 Python 코드를 서버에서 실행시킬 수 있었던 거죠.
이는 완전한 원격 코드 실행(RCE) 가능성을 의미하고, 서버 장악도 가능한 수준의 취약점입니다.

---

언제부터 악용되었나?

해당 취약점은 2025년 3월 말 출시된 Langflow 1.3.0에서 해결됐지만,
릴리즈 노트에서는 이처럼 치명적인 보안 패치가 있었다는 언급이 없었습니다.
그러다 4월 9일, 보안 기업 Horizon3.ai에서 해당 취약점에 대한 상세한 분석과 PoC(공격 코드)를 공개했고,
바로 다음 날인 4월 10일부터 공격 시도가 포착됐습니다.
그리고 4월 12일에는 트래픽이 폭증하며 실제 악용 시도가 급증했죠.

---

문제는 패치 이후에도 끝나지 않는다! 🐍

Horizon3의 보고에 따르면, Langflow 1.3.0 패치에서는 인증 로직이 추가되긴 했지만,
여전히 일반 사용자가 Langflow 내의 슈퍼유저 권한을 탈취할 수 있는 여지가 남아 있다고 합니다.

즉, 완전히 막은 게 아니라 권한 상승(Privilege Escalation)에 대한 여지가 남아 있는 것이죠.
심지어 Horizon3는최근 개발된 AI 툴은 인터넷에 직접 노출하지 말라"고까지 경고했습니다.
이유는 단순합니다.
이런 도구는 아직 성숙하지 않았고,
보안적인 기본기가 부족한 경우가 많기 때문이에요.

---

Langflow 사용자라면 지금 당장 해야 할 일 ✅

1. Langflow 1.3.0 이상으로 즉시 업데이트 하세요.
2. 이 플랫폼을 인터넷에 직접 노출시키지 마세요.
   사내망이나 프록시 뒤에서만 접근 가능하도록 설정하는 것이 안전합니다.
3. 사용자 권한을 철저히 검토하고, 불필요한 계정이나 디폴트 계정 삭제는 필수입니다.
4. 관련 시스템의 로그를 확인하여 /api/v1/validate/code 경로에 이상 접근 시도가 있었는지 체크하세요.
5. Langflow를 사용하는 모든 서버에 대해 Web Application Firewall(WAF) 설정을 강화하는 것도 큰 도움이 됩니다.

---

보안은 선택이 아닌 필수입니다 🔐

AI 플랫폼, 특히 오픈소스 기반 도구들은 개발 속도를 빠르게 해주지만,
그만큼 보안 관리는 사용자 몫입니다.
코드를 직접 수정하거나 커스터마이징 하는 경우가 많아 공식 패치 외에도 자체 점검이 필수예요.

Langflow처럼 인기가 많은 도구가 공격자의 레이더에 올라간 이상,
AI 보안은 더 이상 미래의 이야기가 아닙니다.
실시간으로 적용 가능한 정책과 보안 테스트가 병행되어야 합니다.
특히 exec() 같은 고위험 함수가 사용되는 경우,
접근 제어와 인증 로직은 절대 빼놓아선 안 됩니다.