전 세계 수백만 개의 AI 에이전트와 도구가 오픈소스 패키지의 치명적 취약점에 노출됐다고 한 보안 연구자가 경고했다. 이 취약점은 파이썬 프레임워크 스탈렛(Starlette)에 존재하는데, 개발사에 따르면 스탈렛은 주당 3억 2500만 회 내려받기를 기록한다. 스탈렛은 다수 요청을 동시에 효율적으로 처리하는 ASGI(비동기 서버 게이트웨이 인터페이스) 구현체로, 널리 쓰이는 FastAPI를 비롯한 수천 개 프로젝트의 기반이 된다.
문제가 심각한 이유는 스탈렛이 MCP(모델 컨텍스트 프로토콜) 서버를 구동하는 환경에까지 닿아 있기 때문이다. MCP는 주요 공급사의 AI 에이전트가 사용자 데이터베이스, 이메일, 캘린더 등 외부 자원에 접근하도록 연결하는데, 이를 위해 각 서비스의 자격증명을 저장한다. 결국 MCP 서버는 공격자에게 특히 값진 자격증명 보관소가 되며, 침해 시 민감 데이터와 제3자 계정 정보가 한꺼번에 유출될 수 있다.
CVE-2026-48710로 추적되며 ‘배드호스트(BadHost)’로 명명된 이 취약점은 악용이 극히 쉽다. 연구진에 따르면 HTTP 호스트 헤더에 단 한 글자만 주입하면 스탈렛의 경로 기반 권한 검사를 우회할 수 있다. 방화벽이 제대로 설정되지 않은 대부분의 시스템이 영향권에 들며, FastAPI 외에도 vLLM, LiteLLM 등 널리 쓰이는 패키지와 다수 OpenAI 호환 프록시, 에이전트 하네스, 모델 관리 도구가 취약한 것으로 파악됐다.
이 취약점은 보안업체 X41 D-Sec이 vLLM에서 처음 발견했으며, 같은 결함이 스탈렛을 기반으로 하는 광범위한 파이썬 AI 도구 생태계 전반에 닿아 있다는 사실이 뒤이어 확인됐다. ASGI는 다수의 요청을 동시에 효율적으로 처리하기 위한 비동기 인터페이스 규격으로, 최근 AI 서비스가 대량의 동시 요청을 받아내는 백엔드로 빠르게 자리 잡았다. 그만큼 스탈렛 같은 기반 프레임워크의 결함은 특정 애플리케이션 하나에 그치지 않고, 이를 의존성으로 끌어다 쓰는 수천 개 프로젝트로 동시에 번질 수 있다는 점에서 파급력이 크다.
배드호스트의 위험도는 10점 만점에 7점으로 매겨졌으나, 한 보안업체는 이 등급이 위협을 상당히 과소평가한 것이라고 지적했고, 취약점을 발견한 X41 D-Sec은 ‘치명적 심각도’로 규정했다. 1.0.1 이전 버전이 영향을 받으며, 해당 패치 버전은 지난 금요일 공개됐다. X41 D-Sec은 다른 보안업체 네메시스(Nemesis)와 함께 특정 서버의 취약 여부를 점검할 수 있는 온라인 스캐너도 내놨다. AI 에이전트 도입을 서두르는 국내 기업·개발자에게도 MCP 기반 인프라의 보안 점검이 시급한 과제로 떠올랐다.
