보안

"기밀 데이터까지 위험" 엔비디아 컨테이너 툴킷서 취약점 발견

김보민 기자
보안 경고 이미지 [ⓒ픽사베이]
보안 경고 이미지 [ⓒ픽사베이]

[디지털데일리 김보민기자] 엔비디아 컨테이너 툴킷에서 기밀 데이터를 유출할 수 있는 취약점이 발견됐다. 인공지능(AI) 기반 애플리케이션에 영향을 줄 수 있어 즉각적인 조치가 필요한 상황이다.

30일 관련 업계에 따르면 엔비디아는 최근 자사 컨테이너 툴킷의 업데이트 사항을 발표했다. 문제가 된 취약점 번호는 'CVE-2024-0132'로, 해당 소프트웨어와 연결된 모든 AI 애플리케이션에 영향을 줄 수 있는 것으로 알려졌다. 심각도를 알려주는 공통 취약점 점수 시스템(이하 CVSS)는 9.0에 달한다.

엔비디아 컨테이너 툴킷은 사용자가 그래픽처리장치(GPU) 가속 컨테이너를 구축하고 실행하도록 돕는 제품이다. 툴킷에는 컨테이너 런타임 라이브러리부터 자동 구성 유틸리티까지 포함돼 있어 사용자 편의성이 높은 것이 특징이다.

엔비디아는 컨테이너 툴킷의 모든 버전에 이번 취약점이 영향을 미친다며, 패치가 시급하다고 발표했다. 이번 취약점은 코드 실행, 서비스 거부, 권한 상승, 정보 공개, 데이터 변조로 이어질 수 있다고도 부연했다. 다만 컨테이너 장치 인터페이스(CDI)가 기본 장치에 대한 접근을 지정해 사용되는 경우에는 영향을 미치지 않는다고 설명했다.

이번 취약점을 별도 분석한 보안기업 트렌드마이크로에 따르면, 해당 취약점을 방치할시 위협 행위자가 컨테이너 영역을 넘어 전체 루트 권한을 갖출 수 있고, 이후 기본 호스트 시스템까지 장악할 가능성이 있다. 공유 환경에서는 전체 루트 권한이 있는 경우, 무결성이 손상되고 기밀 데이터까지 침투 당할 수 있다.

특히 컨테이너 툴킷의 근간이 되는 AI 애플리케이션에도 영향을 끼칠 수 있다. 트렌드마이크로에 따르면 클라우드 환경 3분의 1에 달하는 33~35% 인프라가 위협에 놓인 것으로 추정된다.

사용자는 엔비디아 홈페이지 안내를 참고해 소프트웨어 업데이트를 진행하거나, 엔비디아 컨테이너 툴킷을 업그레이드(1.16.2)해야 한다. 즉각적인 패치가 어려울 경우에는, '트렌드 비전 원'과 같은 보호 서비스를 도입하는 것도 방법이다. 트렌드 비전 원은 취약점 스캔부터, 공격표면위험관리(ASRM)를 지원한다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널