스프링 AI와 ONNX의 심각한 보안 취약점: SQL 인젝션, JSONPath 결함, 모델 위조
2026년 3월, 스프링 AI와 ONNX 런타임에서 심각한 보안 취약점이 발견되었습니다. 스프링 AI는 마리아DB와 같은 데이터베이스와 통합 시 SQL 인젝션에 취약하며, 사용자 데이터 처리 과정에서 JSONPath 인젝션도 발생할 수 있습니다. ONNX에서는 onnx.hub.load를 통해 모델을 로드할 때 신뢰 검증을 우회할 수 있어 악성 모델의 위조가 가능합니다. 이러한 결함은 사용자 데이터와 인프라가 상호작용하는 실제 AI 시스템에 큰 영향을 미칩니다.
스프링 AI 취약점 세부 사항
스프링 AI는 LLM과 모델을 스프링 애플리케이션에 통합하며, 데이터베이스 접근 기능도 포함합니다. 주요 문제는 다음과 같습니다:
- SQL 인젝션: 입력값 정제 없이 쿼리를 구성할 경우 발생합니다. 공격자는 쿼리 로그, 대화 기록, 사용자 프로필 등을 탈취할 수 있는 악성 코드를 삽입할 수 있습니다.
- JSONPath 인젝션: 사용자 입력을 필터링하지 않으면 다중 사용자 환경에서 다른 사용자의 정보를 읽거나 수정할 수 있습니다.
공유 데이터 환경(채팅 시스템, 콘텐츠 생성, CRM 연동 등)에서는 위험이 급격히 증가합니다. 영향을 받는 버전은 즉시 패치해야 합니다.
ONNX 모델 위조 위험
ONNX는 다양한 프레임워크 간 호환 가능한 모델 형식을 제공하며, 허브 기반 로딩 기능을 지원합니다. 그러나 onnx.hub.load 중 신뢰 검사를 우회할 수 있는 취약점이 존재해 악성 .onnx 파일의 배포가 가능합니다.
결과는 스택에 따라 달라집니다:
- 모델 가중치 교체 시 논리적 오류가 발생해 비정상 동작을 유도할 수 있습니다.
- 컨버터를 포함한 파이프라인은 핸들러 악용을 통해 원격 코드 실행(RCE)을 유도할 수 있습니다.
ONNX 모델은 컨테이너와 유사한 아티팩트입니다. 신뢰할 수 없는 소스에서 로드하면 체계적인 리스크가 발생합니다.
이 프레임워크들이 인프라 어디에 숨어 있을까?
스프링 AI와 ONNX는 종종 중앙 집중식 추적 없이 배포됩니다.
스프링 AI의 일반적인 활용 사례:
- 문서 검색 및 CRM 제안용 내부 어시스턴트.
- 프로토타입이 생산 환경으로 진화한 사례.
- 외부 LLM과의 스프링 통합.
ONNX의 적용 분야:
- 추천 및 평가 서비스.
- 프레임워크 표준화를 위한 MLOps 파이프라인.
- 내장된 모델을 갖춘 벤더 제품.
자산 감사 결과, ML 팀과 오프-더-셸프 솔루션 전반에 걸쳐 이들 배포가 확인되었습니다.
위험 완화 권고사항
보안 및 DevOps 팀을 위한 조치:
- 자산 목록 작성:
- 프레임워크, 소유자, 데이터 유형, 환경(생산/테스트)을 정리하세요.
- 데이터베이스 접근, 다중 사용자 모드 등의 리스크를 식별하세요.
- 업데이트 및 강화:
- 스프링 AI는 패치하고 인젝션 테스트를 추가하세요.
- ONNX는 신뢰할 수 있는 소스만 허용하는 화이트리스트 정책을 적용하고, 자동 로드 기능을 비활성화하세요.
- 프로세스 개선:
- CRM 또는 청구 수준에서 AI 프로젝트 리뷰를 도입하세요.
- 핵심 구성 요소(허브, LLM 프록시 등)에 대해 전략적 일치를 확보하세요.
1주일 내 행동 체크리스트
스프링 AI:
- 저장소 및 종속성 스캔.
- 데이터 접근 및 다중 사용자 시나리오 감사.
- 버전 업데이트 및 자동 SQL/JSONPath 테스트 구현.
ONNX:
onnx.hub.load위치 및 자동 업데이트 설정 확인.- 소스를 화이트리스트로 제한.
- 벤더 패치 및 검증 로그 요청.
일반 사항:
- AI 프레임워크를 CVE 모니터링 대상에 추가.
- AI 스택 책임자 지정.
- DevSecOps 워크플로우에 요구사항 문서화.
핵심 요약
- 스프링 AI의 SQL 및 JSONPath 인젝션은 데이터베이스와 다중 사용자 시스템에서 사용자 데이터 노출 위험을 초래합니다.
- ONNX에서 신뢰 검사를 우회하면 모델 위조가 가능하며, 심지어 원격 코드 실행(RCE)으로 이어질 수 있습니다.
- AI 프레임워크는 자산 목록 작성과 별도 보안 존 설정이 필요합니다.
- AI 프로젝트를 생산 환경에 옮기기 전에는 완전한 보안 검토가 필수입니다.
- AI 스택의 CVE 모니터링은 팀 내 별도 역할로 운영되어야 합니다.
— Editorial Team
아직 댓글이 없습니다.