1. 소개: 올라마와 현지화된 AI의 부상
올라마는 개발자가 개인용 컴퓨터(Windows, macOS, Linux) 또는 서버에서 모든 유형의 대규모 언어 모델을 쉽게 다운로드, 실행 및 관리할 수 있는 오픈 소스 프레임워크입니다. 올라마의 핵심 가치는 현지화된 AI의 배포 프로세스를 간소화하고 개발자가 개인 맞춤형 AI 서비스를 신속하게 구축할 수 있도록 하는 것입니다. 기본적으로 Ollama 서비스는 로컬 루프백 주소(127.0.0.1:11434)로 변경하여 로컬에서만 액세스할 수 있도록 합니다. 그러나 바인드 주소를 다음과 같이 변경하는 사소한 구성 변경은0.0.0.0또는 퍼블릭 네트워크 인터페이스가 없었다면 API가 퍼블릭 네트워크에 완전히 노출되었을 것입니다. 이 단순한 구성 오류로 인해 대규모 노출이 발생했습니다.
2. 노출 표면 분석: 마스터가 없는 글로벌 AI 네트워크
연구에 따르면, 발견된 175,000개의 노출된 인스턴스는 전 세계에 걸쳐 전례 없는 '섀도우 AI 네트워크'를 구성합니다. 그 규모와 특성으로 인해 심층적인 분석이 필요합니다.
2.1 지리적 분포 및 네트워크 환경
노출된 올라마 호스트는 전 세계 130개국에 분포되어 있어 지리적으로 넓은 분포를 보이고 있습니다. 그 중 중국이 30% 이상으로 1위를 차지하고 있으며 미국, 독일, 프랑스, 한국 등 기술 선진국이 그 뒤를 잇고 있습니다. 이러한 분포는 올라마가 전 세계적으로 유행하고 있지만 보안 인식의 확산이 그 속도를 따라가지 못하고 있음을 시사합니다.
더 큰 문제는 이러한 호스트가 기존 클라우드 서비스 제공업체(예: AWS, Azure, Google Cloud)에 존재할 뿐만 아니라 주거용 광대역 네트워크에도 광범위하게 분산되어 있다는 사실입니다. 주거용 네트워크에는 일반적으로 엔터프라이즈급 보안 모니터링 및 관리 메커니즘이 부족하기 때문에 이러한 하이브리드 배포 환경은 거버넌스의 복잡성을 크게 증가시킵니다.
|
주요 노출 국가
|
|
1. 중국(>30%)
|
|
2. 미국
|
|
3. 독일
|
|
4. 프랑스
|
|
5. 한국
|
|
6. 인도
|
|
7. 러시아
|
|
8. 싱가포르
|
|
9. 브라질
|
|
10. 영국
|
표 1: 공개적으로 노출된 올라마 인스턴스가 있는 상위 10개 국가 분포도
그림 1: 글로벌 올라마 노출 인스턴스 분포의 히트 맵
2.2 고위험 기능: 텍스트 생성부터 권한 있는 작업까지
이 보고서에서 가장 놀라운 발견은 노출된 모든 호스트 중에서거의 절반(48% 이상)이 도구 호출을 사용하도록 설정했습니다.. 함수 호출이라고도 하는 도구 호출을 통해 LLM은 네이티브 코드 실행, 외부 API 호출, 데이터베이스 또는 운영 체제 리소스 액세스 등 외부 세계와 상호 작용할 수 있습니다. 이 기능은 위협 모델을 근본적으로 변화시킵니다.
"일반 텍스트 생성 엔드포인트는 유해한 콘텐츠를 생성할 수 있지만, 도구가 활성화된 엔드포인트는 권한 있는 작업을 수행할 수 있습니다. 불충분한 인증 및 네트워크 노출과 결합될 경우, 이는 우리 평가에서 에코시스템 내에서 가장 심각한 위험에 해당합니다." -- SentinelOne 연구원
이는 공격자가 챗봇과 대화하는 대신 비밀번호로 보호되지 않는 API를 통해 피해자의 컴퓨터에서 직접 명령을 실행할 수 있다는 것을 의미합니다. 또한 이 연구에서는 보안 펜스가 제거된 '무검열' 경고 템플릿을 실행하는 201개의 호스트가 발견되어 악성 콘텐츠를 생성하거나 위험한 행동을 유발하기가 더 쉬워졌습니다.
그림 2: 텍스트 생성 엔드포인트와 툴 호출 엔드포인트의 위협 모델 비교
3. 위협 모델링 및 실제 공격: LLMjacking
이렇게 노출된 AI 인프라에 대응하기 위해 'LLM재킹'이라는 새로운 유형의 공격이 등장했습니다. 공격자는 피해자의 LLM 컴퓨팅 리소스를 탈취하여 자신의 목적을 달성하고, 피해자는 모든 컴퓨팅 비용을 부담합니다.
3.1 LLMjacking 공격 흐름
LLM재킹 공격은 일반적으로 무단 액세스로 시작하여 리소스 오용 및 상업적 실현으로 끝나는 표준 프로세스를 따릅니다.
1.정찰 및 발견공격자는 매스캔과 같은 자동화된 도구를 사용하여 인터넷에서 열려 있는 Ollama 기본 포트(11434) 또는 기타 알려진 AI 서비스 포트를 대량으로 검색합니다.
2.검증 및 평가공격자는 개방형 포트를 발견하면 인증되지 않은 유효한 AI 서비스인지 확인하고 성능과 사용 가능한 모델을 평가하기 위해 테스트 요청을 보냅니다.
3.리소스 탈취 및 남용공격자는 표적이 식별되면 해당 컴퓨팅 리소스를 사용하여 다음과 같은 다양한 악의적인 작업을 수행할 수 있습니다:
•대규모 콘텐츠 생성스팸, 피싱 및 허위 정보 캠페인에 사용됩니다.
•암호화폐 채굴LLM은 채굴에 최적화되어 있지는 않지만 대규모 하이재킹의 경우 여전히 수익을 창출할 수 있습니다.
•멀웨어 개발AI를 사용하여 악성 코드 작성, 난독화 및 변형을 지원합니다.
•무차별 암호 해독 및 바우처 채우기비밀번호 사전을 생성하거나 로그인 시도를 자동화합니다.
4.상업화 실현다크웹이나 전문 마켓플레이스에서 '값싼 AI 파워'로 재판매하기 위해 탈취한 AI 액세스 권한을 패키징하는 행위.
그림 3: LLMjacking 공격의 전체 흐름
3.2 "기괴한 바자회 작전": LLMjacking의 상업화 사례
필러 시큐리티의 연구원들은 "Operation Bizarre Bazaar"라는 실제 공격 캠페인을 발견하고 그 원인을 밝혀냈습니다. 이 캠페인은 "Hecker"(일명 사쿠야, LiveGamer101)라는 위협 행위자가 운영하며, 그는 다음과 같은 공격자를 만들었습니다.silver.inc의 웹사이트는 통합 LLM API 게이트웨이 역할을 하며 인터넷에서 탈취한 AI 서비스에 대한 액세스를 공개적으로 판매하고 있습니다.
이 시장의 운영 방식은 네트워크 전반의 자동화된 스캐닝부터 서비스 품질 검증, 최종 상업적 재판매에 이르기까지 LLM재킹의 전체 사슬을 명확하게 보여줍니다. 이는 AI 인프라에 대한 공격이 산발적인 개별 행위에서 조직적이고 수익 중심의 범죄 행위로 진화하고 있음을 의미합니다.
4. 시스템적 위험 및 거버넌스 과제
올라마 노출은 분산형 AI 배포 모델에서 심각한 시스템적 위험과 거버넌스 문제를 드러냈습니다.
•거버넌스 격차노출된 호스트는 클라우드와 주거 네트워크 모두에 걸쳐 있어 기존의 경계 기반 기업 보안 모델을 무력화합니다. 보안팀은 직원의 집이나 보고되지 않은 클라우드 인스턴스를 효과적으로 모니터링하고 관리할 수 없습니다.
•새로운 공격 벡터이러한 고아 AI 노드는 큐 인젝션, 데이터 중독, 모델 오염과 같은 공격에 이상적인 테스트 장소이자 발판이 됩니다. 공격자는 이러한 노드를 사용하여 악성 트래픽을 프록시하고 실제 트래픽의 출처를 숨길 수 있습니다.
•공급망 위험도구 호출 기능이 활성화된 올라마 인스턴스가 조직 내 프로세스를 자동화하는 데 사용될 경우 공격자가 조직의 인트라넷에 침투할 수 있는 진입점이 되어 심각한 공급망 보안 위험을 초래할 수 있습니다.
•뒤처진 보안 인식Ollama의 사용 편의성으로 인해 많은 개발자가 몰렸지만, 단순한 네트워크 구성 오류가 보안에 심각한 결과를 초래할 수 있다는 사실을 깨닫지 못하는 경우가 많습니다. 기술 보급과 보안 교육 사이에는 분명한 단절이 존재합니다.
5. 완화 조치 및 안전 권장 사항
이러한 새로운 위협에 직면하여 기업과 개인 개발자는 AI 배포 전략을 재검토하고 엄격한 보안 조치를 채택해야 합니다.
5.1 핵심 보안 원칙
로컬 LLM을 권한 있는 서비스로 취급하기코드를 실행하거나 외부 시스템과 상호 작용할 수 있는 모든 AI 서비스는 데이터베이스 또는 관리 백엔드와 동일한 수준의 중요 인프라로 취급되어야 하며, 적절한 보안 제어가 적용되어야 합니다.
5.2 구체적인 기술 권장 사항
|
레벨
|
제안 조치
|
명시적 설명
|
|
네트워크 계층
|
로컬 바인딩 고집
|
항상 Ollama 서비스를127.0.0.1. 원격 액세스가 필요한 경우 포트를 직접 노출하는 대신 보안 터널링 기술(예: VPN, SSH 터널링, Tailscale, 제로 티어)을 사용해야 합니다.
|
그림 4: 안전한 구성과 위험한 구성의 아키텍처
방화벽 규칙 적용 호스트 및 네트워크 수준에서 엄격한 방화벽 규칙을 구성하여 신뢰할 수 있는 IP 주소의 트래픽만 AI 서비스 포트에 액세스할 수 있도록 허용합니다.
애플리케이션 계층(컴퓨팅)필수 인증 Ollama 프런트엔드에 리버스 프록시(예: Nginx, Caddy)를 배포하고 필수 인증 메커니즘(예: HTTP Basic Auth, OAuth2, 클라이언트 인증서)으로 구성합니다.
API 요금 제한 무차별 대입 및 서비스 거부 공격을 방지하기 위해 API 엔드포인트에 속도 제한을 적용합니다.
모니터링 및 감사:자산 인벤토리 구축 기업은 AI 자산의 동적 인벤토리를 생성하고 네트워크 검색 도구를 사용하여 내부 및 외부 네트워크에서 승인되지 않은 AI 서비스를 정기적으로 탐지해야 합니다.
로그 모니터링 및 알림 Ollama의 액세스 로그와 작업 로그를 모니터링하고 비정상적인 액세스 패턴(예: 알 수 없는 IP의 요청, 빈번한 API 호출)에 대한 알림을 설정합니다.
구성 관리 :보안 기준선AI 배포를 위한 보안 구성의 기준선을 개발 및 시행하고, 자동화된 점검을 위해 보안 구성을 CI/CD 프로세스에 통합하세요.
6. 결론
175,000개의 올라마 인스턴스가 공개적으로 노출된 것은 AI 시대의 '섀도 IT' 문제가 집중적으로 발생한 것입니다. 이는 AI 기술이 엣지와 개인 디바이스로 내려오면서 기존의 중앙 집중식 보안 거버넌스 모델이 심각한 도전에 직면하고 있음을 분명히 보여줍니다. 공격자들은 이러한 무인 AI 리소스를 체계적으로 사용하여 정찰에서 실현에 이르는 완전한 범죄 사슬을 형성하기 시작했습니다.
보안 커뮤니티에 있어 이는 경각심을 불러일으키는 사건입니다. AI 인프라, 특히 외부 세계와 상호 작용할 수 있는 '에이전트' AI를 최고 수준의 보안 통제 하에 두어야 합니다. 일반적으로 개발자가 오픈 소스와 편의성을 수용하려면 배포의 첫 단계부터 보안을 왼쪽에 두고 '보안을 기본으로'라는 사고방식을 가져야 합니다. 그렇지 않으면 오늘 우리에게 편리함을 가져다주는 AI 비서가 내일은 늑대를 집안으로 유인하는 트로이 목마가 될 수 있습니다.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/ai-ollama-attack-surface-analysis-report.html
