SageMaker Python SDK의 보안 발견

AWS는 SageMaker Python SDK 내 두 가지 취약점에 대한 보안 공지를 발표했습니다. 첫 번째 취약점인 CVE-2026-1777은 데이터 무결성을 보호하는 데 사용되는 노출된 HMAC 키와 관련이 있습니다. 이 키는 환경 변수에 저장되어 DescribeTrainingJob API를 통해 공개됩니다. DescribeTrainingJob 권한을 가진 공격자는 이 키를 추출하여 데이터를 조작하고 S3 객체를 덮어쓸 수 있습니다. 영향을 받는 버전은 SDK의 v2 및 v3 버전 내 특정 빌드입니다. 두 번째 취약점인 CVE-2026-1778은 안전하지 않은 TLS 구성과 관련이 있습니다. 이 문제는 Triton Python 백엔드에서 SSL 인증서 검증을 전역적으로 비활성화합니다. 이 구성은 공개 소스에서 모델을 다운로드할 때 SSL 오류를 우회하기 위해 도입되었습니다. 이는 Triton Python 모델을 가져올 때 HTTPS 연결의 보안을 무효화합니다. 이 취약점은 SDK의 v2 및 v3 버전 내 특정 빌드에도 영향을 미칩니다. 이러한 취약점은 SageMaker 모델 훈련 및 배포의 무결성과 보안을 손상시키는 데 악용될 수 있습니다. 사용자는 제공된 기사를 검토하여 포괄적인 정보와 해결 단계를 확인하는 것이 좋습니다. 이러한 중요한 보안 위험을 해결하기 위해 즉각적인 주의가 필요합니다. 공지에서는 패치된 SDK 버전으로 즉시 업데이트하는 것이 중요함을 강조합니다. 이러한 문제를 해결함으로써 사용자는 AWS에서 머신 러닝 워크플로우를 보호할 수 있습니다.