AI 요원 핵심 기술에 치명적 결함… 랭체인 'LangGrinch' 경보 발령

AI 요원 운용에 핵심적으로 활용되는 라이브러리 ‘랭체인 코어(langchain-core)’에서 치명적인 보안 취약점이 발견됐다. 이 문제는 일명 ‘랭그린치(LangGrinch)’로 명명됐으며, 공격자가 AI 시스템 내 민감 정보를 탈취할 수 있게 만든다. 이 취약점은 장기적으로 수많은 AI 애플리케이션의 보안 기반을 뒤흔들 수 있다는 점에서 업계 전반에 경종을 울리고 있다.

AI 보안 스타트업 사이아타 시큐리티(Cyata Security)는 이 취약점을 CVE-2025-68664 번호로 공개하고, 통합 취약점 평가 기준(CVSS) 상 9.3점의 위험도를 부여했다. 문제의 핵심은 랭체인 코어에 포함된 내부 도움 함수들이 직렬화와 역직렬화 과정에서 사용자 입력을 신뢰된 객체로 오인할 수 있다는 점이다. 공격자가 '프롬프트 인젝션(prompt injection)' 기법을 활용하면, 요원이 생성한 구조화된 출력에 내부 마커 키를 삽입시켜 이후 신뢰성 있는 객체로 처리되도록 조작할 수 있다.

랭체인 코어는 수많은 AI 요원 프레임워크에서 중추 역할을 하며, 최근 30일간 수천만 건의 다운로드가 이뤄졌다. 전체적으로는 8억 4,700만 회 이상 다운로드된 것으로 집계된다. 전체 랭체인 생태계와 연결된 응용 프로그램들을 고려할 때, 이번 취약점이 끼칠 영향은 광범위하다는 게 전문가들의 분석이다.

사이아타의 보안 연구원 야르덴 포라트는 “이번 취약점은 단순한 역직렬화 문제가 아니라 직렬화 경로 자체에서 발생하는 점이 이례적”이라며 “AI 프롬프트로 생성된 구조화 데이터를 저장하거나 스트리밍, 나중에 복원하는 과정 자체가 새로운 공격면을 노출시킨다”고 설명했다. 실제로 사이아타는 단일 프롬프트에서 다양한 시나리오로 이어질 수 있는 12가지의 명확한 공격 경로를 확인했다고 밝혔다.

공격이 발동되면 원격 HTTP 요청을 통해 환경 변수 전체가 외부로 유출될 수 있으며, 여기에는 클라우드 자격증명, 데이터베이스 접근 URL, 벡터DB 정보, LLM API 키 등의 고급 정보가 포함된다. 특히 이 취약점은 서드파티 툴이나 외부 통합 없이 오직 랭체인 코어 자체에서 발생하는 구조적인 결함이라는 점에서 더욱 심각하다. 사이아타는 이를 “생태계 배관층(plumbing layer)에 상존하는 위협”이라며 경계심을 드러냈다.

현재 문제를 해결한 보안 패치는 랭체인 코어 버전 1.2.5 및 0.3.81로 배포됐다. 사이아타는 이번 문제를 공개하기 전 랭체인 운영진에 먼저 통보했으며, 해당 팀은 즉각적인 대응뿐 아니라 장기적인 보안 강화를 위한 조치를 취한 것으로 전해졌다.

사이아타 공동창업자이자 최고경영자인 샤하르 탈은 “AI 시스템이 본격적으로 산업 현장에 배치되면서, 이제는 코드 실행 자체보다 시스템이 궁극적으로 어떤 권한을 소화하게 되는지가 핵심 보안 이슈로 부상했다”며 “요원 ID 기반 구조에서는 접근 권한 축소와 충격 반경 최소화가 필수설계 요소가 된다”고 강조했다.

이번 사태는 점차 사람의 개입보다 에이전트 기반 자동화가 중심이 되는 AI 산업에서, 보안 설계의 기본이 무엇인지 되돌아보게 하는 계기가 될 것으로 평가된다.