AI 플랫폼 Flowise, 치명적 RCE 취약점 공개

“Flowise RCE 취약점, 코드 공개로 공격 가속화”

최근 AI 개발 생태계에 예상치 못한 보안 위협이 등장했습니다.

Obsidian Security는 인기 있는 오픈소스 LLM(거대 언어 모델) 플로우 구축 플랫폼인 Flowise에서 발견된 심각한 원격 코드 실행(RCE) 취약점에 대한 기술 정보와 개념 증명(PoC) 코드를 공개했습니다.

이번 사태는 AI 생태계 전반의 보안 강화 필요성을 다시 한번 일깨우고 있습니다.

핵심 이슈 및 배경

해당 취약점은 CVE-2026-40933으로 추적되며, CVSS 점수 9.9라는 극도로 높은 심각도를 기록하고 있습니다.

이는 Anthropic의 MCP(Messaging and Control Protocol) 프로토콜에 의존하는 AI 생태계에 영향을 미치는 여러 보안 결함 중 하나로, 지난 4월에 공개되었습니다.

Flowise는 52,000개 이상의 GitHub 스타를 보유하며 개발자들 사이에서 널리 사용되는 플랫폼으로, 드래그 앤 드롭 인터페이스를 통해 LLM 플로우 및 AI 에이전트 구축을 지원합니다.

OX Security에 따르면, 이 문제의 근본 원인은 Anthropic MCP의 “의도된(by design)” 설계상 시스템적인 커맨드 인젝션 취약점이며, 이는 생태계 전반으로 확산되고 있습니다.

NIST(미국 국립표준기술연구소)의 자문 보고서는 CVE-2026-40933을 MCP 어댑터 내 stdio(standard input/output) 명령어의 안전하지 않은 직렬화(unsafe serialization)로 설명하며, 공격자가 임의의 명령어를 가진 MCP stdio 서버를 추가하여 코드 실행을 달성할 수 있다고 명시합니다.

상세 비교 분석

Flowise 버전 3.1.0 이전 버전에서는 누구나 새로운 MCP를 추가할 수 있었으며, 이때 임의의 명령어를 삽입할 수 있었습니다.

이는 기반 운영체제(OS)에서의 코드 실행으로 이어질 수 있습니다.

Obsidian Security에 따르면, 이 취약점은 공격자가 단순히 사용자에게 악의적으로 조작된 채팅 플로우(chatflow)를 가져오도록(import) 유도하는 것만으로도 서버를 장악할 수 있게 합니다.

이 가져오기 작업이 서버에서 임의의 코드 실행을 트리거하는 것입니다.

Obsidian은 “채팅 플로우를 생성하거나 편집할 수 있는 모든 사용자는 커스텀 MCP 도구(Custom MCP Tool)를 추가하고 악의적인 stdio MCP 구성을 제공할 수 있습니다.

실제 환경에서는 악의적인 내부자나 계정이 탈취된 사용자의 계정이 필요합니다.”라고 지적합니다.

원격 공격자는 커스텀 MCP 도구 구성에 악의적인 명령어를 포함시킨 후, 채팅 플로우를 JSON으로 내보내 피해자에게 공유할 수 있습니다.

페이로드(payload)는 Flowise의 합법적인 기능을 악용하여 가져오기 프로세스 중에 악성 명령어를 실행하는 방식으로 작동합니다.

Obsidian은 “Flowise의 커스텀 MCP 노드에는 구성된 MCP 서버가 노출하는 도구 목록을 보여주는 ‘사용 가능한 작업(Available Actions)’ 드롭다운이 있습니다.

이 드롭다운을 채우기 위해 캔버스는 백엔드에 서버의 도구를 열거하도록 요청합니다.

stdio 전송을 사용하면, 열거 과정에서 구성된 명령어가 시작됩니다.

가져온 채팅 플로우가 캔버스에 렌더링될 때 드롭다운이 로드되므로, 가져오기만으로도 명령어가 실행될 수 있습니다.”라고 설명합니다.

Obsidian Security는 개념 증명(PoC) 코드를 공개했는데, 이 코드를 가져오면 호스트의 Docker 브리지 주소로 쉘(shell)을 반환합니다.

CVE-2026-40933의 성공적인 악용은 “Flowise 프로세스의 권한으로 OS 레벨 실행을 초래하며, 컨테이너 환경에서는 종종 root 권한을 획득하게 됩니다.

플랫폼에 저장된 모든 자격 증명은 읽을 수 있으며, 연결된 모든 서비스에 접근 가능합니다.

프로덕션 환경의 Flowise는 일반적으로 데이터베이스, API, 클라우드 계정과 연결되므로, 공격의 파급력은 연결된 모든 서비스로 확장됩니다.”라고 Obsidian은 설명합니다.

Obsidian Security는 Flowise Cloud는 stdio MCP가 비활성화되어 있어 영향을 받지 않지만, 자체 호스팅(self-hosted) 인스턴스는 기본적으로 취약한 상태라고 덧붙였습니다.

시장 파급 효과 및 전망

이번 Flowise RCE 취약점 공개는 AI 개발 도구 및 플랫폼 전반에 대한 보안 감사 및 강화의 필요성을 부각시킵니다.

특히, 오픈소스 프로젝트는 개발 속도와 커뮤니티 참여라는 장점을 가지지만, 동시에 코드 검증 및 보안 패치 적용에 있어서는 기업용 솔루션보다 취약한 측면이 있습니다.

Flowise와 같이 LLM 플로우 구축에 특화된 플랫폼은 API 키, 데이터베이스 접근 권한 등 민감한 정보를 다루는 경우가 많아, 이러한 취약점은 심각한 데이터 유출 및 서비스 마비로 이어질 수 있습니다.

한국 시장 역시 예외는 아닙니다.

국내 IT 기업 및 스타트업들도 AI 모델 개발 및 서비스 구축에 Flowise와 유사한 오픈소스 도구를 활발히 도입하고 있습니다.

따라서 이번 취약점은 국내 AI 관련 업계에도 직접적인 위협이 될 수 있으며, 보안 패치 적용 및 보안 설정 강화에 대한 즉각적인 조치가 요구됩니다.

또한, 이러한 보안 사고는 AI 기술 투자 및 도입에 대한 시장의 심리를 위축시킬 수 있는 요인이 될 수 있습니다.

장기적으로 볼 때, 이번 사건은 AI 보안 전문 솔루션 시장의 성장을 가속화할 것으로 예상됩니다.

더불어, 오픈소스 프로젝트의 지속 가능한 보안 확보를 위한 커뮤니티의 노력과 더불어, 기업들의 책임감 있는 보안 관리 체계 구축이 더욱 중요해질 것입니다.

OpenAI의 Claude Sandbox와 같은 보안 기능 강화 시도가 이어지는 가운데, 이러한 취약점 공개는 AI 생태계의 건강한 발전을 위한 필수적인 과정이라고도 볼 수 있습니다.

관련 기술 트렌드 더 보기

결론

Flowise의 치명적인 RCE 취약점이 공개되고 PoC 코드까지 등장하면서, 해당 플랫폼 사용자들은 즉각적인 업데이트 또는 보안 조치를 취해야 합니다.

이는 단순히 Flowise만의 문제가 아니라, AI 개발 생태계 전반에 걸친 보안 의식을 제고하는 계기가 될 것입니다.

공격자는 합법적인 기능을 악용하여 서버를 장악할 수 있으므로, 사용자들은 의심스러운 채팅 플로우 가져오기를 경계해야 합니다.

자주 묻는 질문 (FAQ)

Q: Flowise의 CVE-2026-40933 취약점은 구체적으로 무엇을 의미하는가?

A: 이 취약점은 Flowise 버전 3.1.0 이전에서 발견되었으며, 공격자가 악의적으로 조작된 채팅 플로우를 가져오도록 유도하여 서버에서 임의의 명령어를 실행할 수 있게 합니다.

이를 통해 공격자는 서버에 대한 접근 권한을 획득하고 민감한 정보에 접근할 수 있습니다.

Q: Flowise Cloud와 자체 호스팅(self-hosted) 인스턴스 중 어떤 것이 더 취약한가?

A: Flowise Cloud는 stdio MCP가 비활성화되어 있어 영향을 받지 않습니다.

반면, 자체 호스팅 인스턴스는 기본적으로 이 취약점에 노출되어 있으므로, 사용자는 즉시 최신 버전으로 업데이트하거나 보안 설정을 점검해야 합니다.

Q: 이번 취약점 공개로 인해 한국 AI 시장에 미칠 영향은 무엇인가?

A: 한국의 AI 관련 기업 및 스타트업은 Flowise와 같은 오픈소스 도구 도입 시 보안 위험에 대한 경각심을 높여야 합니다.

이는 AI 기술 투자 및 도입 속도에 영향을 줄 수 있으며, 보안 강화 솔루션 시장의 성장을 촉진할 가능성이 있습니다.

Q: CVE-2026-40933 취약점을 해결하기 위한 최선의 방법은 무엇인가?

A: 가장 중요한 해결책은 Flowise를 최신 버전(3.1.0 이상)으로 업데이트하는 것입니다.

업데이트가 불가능한 경우, MCP 설정을 신중하게 관리하고 출처가 불분명한 채팅 플로우 가져오기를 피하는 등 보안 정책을 강화해야 합니다.

Obsidian Security 보안 권고

관련 추천 상품

Book – 밑바닥부터 만들면서 배우는 LLM