문의하기
블로그

CVE-2026-42208: LiteLLM AI 게이트웨이 표적 SQL 주입 취약점

본 글에서는 CVE-2026-42208의 기술적 원인과 공격 흐름을 분석하고, AI 인프라가 어떤 새로운 공격 표면을 형성하고 있는지 Criminal IP를 활용한 분석과 탐지를 통해 살펴본다.

2026년 4월 24일, 오픈소스 AI 게이트웨이 LiteLLM의 치명적인 SQL 주입 취약점 CVE-2026-42208이 GitHub 어드바이저리 데이터베이스에 공개되었다. 공개 36시간 7분 후, 이미 실제 공격이 관측되었다. CVSS 9.3(Critical)으로 평가된 이 취약점은 인증이 전혀 필요 없다. 공격자는 /chat/completions와 같은 일반 API 엔드포인트에 조작된 Authorization: Bearer 헤더 하나를 전송하는 것만으로 LiteLLM 프록시의 PostgreSQL 데이터베이스에서 임의의 SQL 쿼리를 실행할 수 있다. 그리고 LiteLLM이 관리하는 데이터베이스에는 OpenAI, Anthropic, AWS Bedrock 등 클라우드 AI 제공자의 API 키와 IAM 자격 증명이 집중되어 있다.

보안 연구팀은 이번 침해의 파급력을 “일반적인 웹 애플리케이션 SQL 주입이 아니라 클라우드 계정 전체 침해에 가깝다”고 평가했다. 본 글에서는 CVE-2026-42208의 기술적 원인과 공격 흐름을 분석하고, AI 인프라가 어떤 새로운 공격 표면을 형성하고 있는지 살펴본다.

CVE-2026-42208 LiteLLM SQL 주입 취약점 개요

LiteLLM SQL 취약점의 개요를 나타낸 AI 생성 이미지
항목내용
취약점 IDCVE-2026-42208
영향 제품BerriAI LiteLLM Python 패키지
취약점 유형SQL Injection
CVSS 점수9.3 (Critical)
영향 버전1.81.16 이상 ~ 1.83.6 이하
패치 버전1.83.7-stable (2026년 4월 19일 릴리스)
악용 현황공개 36시간 7분 후 최초 공격 관측

LiteLLM은 GitHub 스타 45,000개, 포크 7,600개를 보유한 오픈소스 AI 게이트웨이로, 개발자와 기업이 OpenAI, Anthropic, AWS Bedrock, Gemini 등 100개 이상의 LLM 제공자를 단일 OpenAI 호환 API로 통합 관리하는 데 활용된다. 이 구조상 LiteLLM은 조직의 모든 AI 자격증명이 집중되는 단일 지점이 된다.

기술적 원인: 에러 핸들링 경로의 파라미터 바인딩 누락

공격 흐름을 나타낸 AI 생성 이미지

취약점은 LiteLLM 프록시의 API 키 검증 과정에서 발생한다.

사용자가 LLM API 엔드포인트(예: POST /chat/completions)를 호출하면, 프록시는 Authorization: Bearer 헤더에서 API 키 값을 추출해 LiteLLM_VerificationToken 테이블을 조회한다. 정상적인 구현이라면 키 값을 SQL 파라미터로 분리해서 전달해야 하지만, 영향 버전에서는 Bearer 값이 쿼리 문자열에 직접 삽입되었다. 문제는 이 쿼리가 정상 인증 경로가 아니라 에러 핸들링 경로에서도 동일하게 실행된다는 점이다. 즉, 유효하지 않은 토큰을 전송해도 이 경로를 통해 취약한 쿼리에 도달할 수 있다.

공격자는 Bearer 값 안에 단일 따옴표를 삽입하는 것만으로 SQL 쿼리 문자열을 탈출하고, UNION SELECT 구문을 통해 데이터베이스 내 임의 테이블을 조회할 수 있다. 인증이 결정되기 이전 단계에서 주입이 실행되므로, 프록시 포트(기본 4000)에 접근할 수 있는 HTTP 클라이언트라면 추가 조건 없이 공격이 가능하다.

공격자가 노린 세 개의 테이블

실제 관측된 공격은 무차별적인 스캐닝이 아니었다. 공격자는 LiteLLM이 내부적으로 사용하는 Prisma ORM의 PostgreSQL 식별자 케이싱을 사전에 파악하고 있었으며, 세 개의 고가치 테이블만을 정밀하게 타깃했다.

첫 번째 타깃인 LiteLLM_VerificationToken에는 가상 API 키와 마스터 키가 저장되어 있다. 이 키들은 탈취 즉시 /chat/completions에 그대로 재사용할 수 있으며, LiteLLM은 기본적으로 키를 특정 출처 IP에 바인딩하지 않는다. 두 번째 타깃인 litellm_credentials는 가장 고가치 테이블이다. OpenAI 조직 키, Anthropic 워크스페이스 관리자 키, AWS Bedrock IAM 자격증명 등 업스트림 LLM 제공자의 실제 자격증명이 집중되어 있다. 하나의 행에 여러 제공자의 자격증명이 동시에 포함되는 경우가 일반적이다.

세 번째 타깃인 litellm_config에는 프록시 런타임 환경변수와 내부 설정 전체가 저장되어 있어, 공격자가 프록시 운영 환경 전반을 파악하는 데 활용될 수 있다. 반면 litellm_users나 litellm_team 등 사용자 계정 관련 테이블은 탐색 대상에 포함되지 않았다. 공격자는 처음부터 AI 자격증명만을 목표로 했음을 알 수 있다.

36시간: PoC 없이 어드바이저리만으로 충분했다

이번 사건이 주목받는 이유는 악용 속도와 정밀도의 조합에 있다. 취약점 패치는 2026년 4월 19일에 이미 출시되어 있었다. 어드바이저리가 GitHub 글로벌 어드바이저리 데이터베이스에 인덱싱된 것은 4월 24일 16:17 UTC였으며, 첫 공격은 36시간 7분 후인 4월 26일에 관측되었다. 공격자는 어드바이저리와 오픈소스 스키마만을 바탕으로 공격을 재현했으며, PoC 코드 공개를 기다리지 않았다. LiteLLM이 오픈소스 프로젝트이기 때문에 데이터베이스 스키마가 코드베이스에서 확인 가능했고, 이것이 공격자가 사전에 테이블 구조를 파악할 수 있었던 이유다.

LiteLLM을 반복적으로 노리는 패턴

CVE-2026-42208은 LiteLLM을 표적으로 삼은 두 번째 주요 보안 사건이다. 불과 한 달 전인 2026년 3월, TeamPCP 해킹 그룹은 LiteLLM의 릴리스 파이프라인을 통해 악성 PyPI 패키지를 배포하는 공급망 공격으로 하위 사용자들의 자격증명과 시크릿을 탈취했다. 3월 공급망 공격이 신뢰할 수 있는 패키지를 오염시켜 설치된 모든 시스템에서 자격증명을 수집하는 방식이었다면, CVE-2026-42208은 취약한 LiteLLM 프록시에 직접 접근해 데이터베이스에서 자격증명을 추출하는 방식이다. 경로는 다르지만 목표는 동일하다. AI 게이트웨이가 관리하는 클라우드 제공자 자격증명이다.

Criminal IP를 통해 관측된 외부 노출 LiteLLM 인스턴스

CVE-2026-42208 공개 이후 LiteLLM 환경의 외부 노출 가능성을 점검하기 위해, Criminal IP를 활용하여 인터넷에 공개된 LiteLLM 관련 자산을 식별하고 노출 현황을 분석했다.

Criminal IP Asset Search에 title: LiteLLM을 검색한 결과

Criminal IP 검색 쿼리: title: LiteLLM

LiteLLM의 웹 인터페이스는 페이지 title에 서비스명을 직접 노출하기 때문에, 단순한 HTML title 기반 검색만으로도 외부에서 접근 가능한 인스턴스를 식별할 수 있다. 특히 LiteLLM은 네트워크 장비나 웹 관리 콘솔처럼 인터넷 노출을 전제로 설계된 시스템이 아니라, 내부 AI 인프라에 가까운 구성 요소다. 따라서 Criminal IP에서 식별된 모든 인스턴스는 그 자체로 잘못된 구성, 즉 사설 네트워크나 VPN 보호 없이 인터넷에 노출된 AI 게이트웨이로 볼 수 있다.

해당 쿼리 기준으로 2026년 4월 약 2,000개 이상의 노출 자산이 식별되었다. 이는 단순히 잘못 설정된 시스템이 아니라, OpenAI, Anthropic, AWS Bedrock 등 상위 LLM 제공업체의 API 키를 포함한 조직의 민감한 클라우드 자격 증명을 중앙에서 관리하는 AI 게이트웨이 프록시다. CVE-2026-42208의 맥락에서 이러한 인스턴스는 인증 없이 즉시 악용 가능한 공격 대상이 될 수 있다.

Criminal IP Asset Search에 title: title: LiteLLM AND port: 4000를 검색한 결과

Criminal IP 검색 쿼리: title: LiteLLM AND port: 4000

LiteLLM 프록시는 기본적으로 4000번 포트에서 실행된다. 이는 일반적인 웹 서비스 포트가 아니기 때문에, 해당 포트에서 발견되는 LiteLLM 인스턴스는 의도치 않게 외부에 노출되었을 가능성을 더욱 강하게 시사한다. 특히 기본 포트에서 운영 중인 인스턴스는 개발 또는 테스트 환경이 인터넷에 그대로 공개된 사례일 수 있으며, 보안 하드닝이 충분히 적용되지 않았을 가능성이 높다. 기본 포트에서 실행 중인 LiteLLM 인스턴스만 필터링한 결과, 작성 시점 기준 28개의 자산이 식별되었다. 전체 노출 자산 수에 비해 규모는 작지만, 기본 설정 상태로 보이는 배포 환경이라는 점에서 보안상 중요도가 높다. CVE-2026-42208이 공개 후 36시간 이내에 실제 공격에 악용된 정황이 확인된 상황에서, 이러한 기본 구성 인스턴스는 공격자에게 가장 쉬운 침투 경로가 될 수 있다.

Criminal IP Asset Search에서 관련 개별 자산을 분석한 결과

탐지된 LiteLLM 자산들 중 특정 개별 자산을 Criminal IP에서 상세 분석한 결과, 해당 자산은 HTTPS(443) 포트가 외부에 개방된 상태로 확인되었다. 또한 취약점 4건과 Exploit DB 연관 항목 1건이 함께 식별되었는데 이는 단순 웹 서비스 노출을 넘어 이미 알려진 취약점 또는 공격 기법과 연결될 수 있는 환경임을 시사한다. 이 자산은 인터넷 노출을 전제로 설계된 네트워크 장비나 방화벽이 아니라, 상위 LLM 제공업체의 자격 증명을 보관할 수 있는 AI 게이트웨이 프록시가 공개 인터넷에 그대로 노출된 사례다.

이러한 인스턴스를 대상으로 SQL Injection 공격이 성공할 경우, 그 영향은 일반적인 웹 애플리케이션 침해 수준에 그치지 않는다. Sysdig가 지적한 것처럼 LiteLLM 데이터베이스의 단일 행에는 월 수만 달러 규모의 사용 한도를 가진 OpenAI 조직 키, 워크스페이스 관리자 권한을 가진 Anthropic 콘솔 키, AWS Bedrock IAM 자격 증명 등이 함께 저장될 수 있다. 따라서 공격 성공 시 피해 범위는 단순 데이터 유출이 아니라, 클라우드 계정 전체가 침해되는 수준에 가까워질 수 있다.

결론적으로 Criminal IP를 통해 확인된 약 2,000개 이상의 공개 노출 LiteLLM 인스턴스는 매우 높은 위험도를 가진 공격 표면으로 평가된다. 이는 CVE-2026-42208이 인증 없이 즉시 악용 가능한 취약점이라는 점 때문만이 아니라, LiteLLM 인스턴스가 공용 인터넷에 존재한다는 사실 자체가 조직의 AI 인프라 전체를 위험에 노출시키는 심각한 구성 오류를 의미하기 때문이다.

패치 현황 및 대응 방안

CVE-2026-42208은 LiteLLM 1.83.7에서 수정되었다. LiteLLM 공식 권고는 영향을 받는 버전을 1.81.16 이상 1.83.7 미만으로 명시하며, 1.83.7 이상으로 업그레이드할 것을 안내하고 있다. 또한 LiteLLM은 최신 안정 버전인 1.83.10-stable로의 업데이트를 권고하고 있다.

구체적으로 조직은 다음과 같은 조치를 우선적으로 수행해야 한다.

  • LiteLLM Proxy를 1.83.7 이상, 가능하면 1.83.10-stable로 업데이트
  • 외부에서 접근 가능한 LiteLLM Proxy 자산 식별
  • /chat/completions 등 LLM API 라우트의 외부 접근 제어
  • LiteLLM 데이터베이스 접근 로그 및 PostgreSQL 쿼리 이력 점검
  • litellm_credentialslitellm_config 관련 비정상 조회 흔적 확인
  • LLM Provider API 키, 가상 API 키, 클라우드 자격 증명 교체
  • 의심 IP와의 통신 로그 확인

특히 LiteLLM Proxy가 인터넷에서 직접 접근 가능한 상태로 운영되었다면, 단순 패치 적용만으로 충분하지 않다. 공격자가 실제로 데이터베이스를 조회했을 가능성을 고려해 저장된 Provider 자격 증명과 API 키를 모두 신뢰할 수 없는 상태로 간주하고 교체해야 한다.

FAQ

Q1. CVE-2026-42208은 왜 위험한가요?

이 취약점은 인증 이전 단계에서 악용 가능한 SQL 주입입니다. 공격자는 유효한 API 키 없이도 조작된 Authorization 헤더를 전송해 LiteLLM Proxy의 API 키 검증 경로를 조작할 수 있습니다. 특히 LiteLLM은 여러 LLM Provider 키와 클라우드 AI 서비스 자격 증명을 중앙에서 관리하기 때문에, 데이터베이스 침해가 곧 Provider 계정 침해로 이어질 수 있기에 위험합니다.

Q2. 이번 공격이 기존 SQL 주입과 다른 점은 무엇인가요?

실제 관측된 공격은 일반적인 자동화 스캐너(SQLmap 등)를 사용한 무차별 공격이 아니었습니다. 공격자는 LiteLLM 내부 데이터베이스 스키마를 사전에 파악하고 있었으며, 수십 개의 테이블 중 AI 자격증명이 저장된 3개 테이블만을 정밀하게 타깃했습니다. PoC가 공개되기 전에 오픈소스 코드베이스와 어드바이저리만을 바탕으로 공격을 재현한 이 사례는, 오픈소스 AI 인프라에 대한 공격이 점점 더 정밀하고 목적 지향적으로 진화하고 있음을 보여줍니다.

결론

CVE-2026-42208은 AI 인프라 보안에 대한 새로운 경각심을 요구하는 사례다. LiteLLM은 불과 두 달 사이에 공급망 공격과 직접 SQL 주입이라는 두 가지 경로로 타깃이 되었다. 경로는 달랐지만 목표는 일관되었다. AI 게이트웨이가 관리하는 클라우드 자격증명이다. 이번 취약점이 보여주는 핵심 시사점은 두 가지다. 첫째, AI 게이트웨이는 단순한 개발 편의 도구가 아니라 조직의 AI 인프라 전체와 연결된 자격증명 저장소로서 시크릿 매니저와 동급의 보안 기준이 적용되어야 한다. 둘째, 36시간이라는 악용 창은 “며칠 내 패치”라는 기존 대응 속도로는 충분하지 않음을 명확히 한다. 외부에 노출된 LiteLLM 인스턴스가 어디에 있는지 파악하고, 실제로 취약한 버전이 운영 중인지를 즉각적으로 확인하는 것이 패치 적용보다 선행되어야 하는 이유가 바로 여기에 있다.

관련하여 몽구스 RCE 취약점 CVE-2024-53900 & CVE-2025-23061: 몽구스 노출의 보안 위협과 대책 글을 참고할 수 있다.

Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.


이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

출처: Criminal IP(https://www.criminalip.io/ko), SECURITYWEEK (https://www.securityweek.com/fresh-litellm-vulnerability-exploited-shortly-after-disclosure/), SecurityAffairs (https://securityaffairs.com/191483/hacking/cve-2026-42208-litellm-bug-exploited-36-hours-after-its-disclosure.html), TheHackerNews (https://thehackernews.com/2026/04/litellm-cve-2026-42208-sql-injection.html)

관련 글: https://www.criminalip.io/ko/knowledge-hub/blog/26437

CVE-2026-42208: LiteLLM AI 게이트웨이 표적 SQL 주입 취약점 | CIP Blog | Criminal IP