무슨 일이 있었나
2026년 6월 12일 Sysdig의 위협 연구팀은 공개적으로 노출되고 인증되지 않은 Ollama 모델 서버를 'VAPT'라고 자칭하는 다단계 공격 해킹 프레임워크의 추론 백엔드로 악용하는 위협 행위자를 발견했습니다. 이 행위자는 인증되지 않은 모델 추론을 서비스 지문 인식(CPE 매핑됨), 취약점 매칭, 웹 정찰, 필터 우회를 포함한 블라인드 시간 기반 SQL 주입 페이로드 생성, 자격증명 추출, 원격 코드 실행이 확인될 때까지의 권한 상승 오케스트레이션을 수행하는 파이프라인으로 연결했습니다. 이 프레임워크는 모든 모델 호출마다 전체 단계 지침을 전송했으며(Sysdig이 완전한 아키텍처를 캡처할 수 있게 함), 머신 파싱 가능한 JSON 출력을 시행했으며, 손상을 확인하기 위해 탐지 마커 시퀀스(echo VAPTb3gin; id; echo VAPTfin)를 사용했습니다. Sysdig은 2026년 6월 17일에 연구를 발표했습니다. 관찰 기간 동안 프로브는 사설 랩 범위를 대상으로 했으며, 행위자는 프레임워크를 튜닝하는 중인 것으로 보였습니다.
왜 중요한가
약 175,000개의 Ollama 인스턴스가 130개 이상의 국가에서 공개적으로 접근 가능하며 인증이 없어 공격자에게 무료 AI 컴퓨팅을 제공합니다. 이 사건은 LLMjacking-as-API-theft에서 LLMjacking-as-autonomous-offensive-agent로의 진화를 나타냅니다: 탈취된 모델 용량이 이제 자율 주행 익스플로잇 체인의 의사결정 뇌입니다. 자체 호스팅 Ollama 또는 유사한 인증되지 않은 모델 서버(llama.cpp, 0.0.0.0에서 수신 대기 중인 LM Studio)를 실행하는 모든 조직은 직접적인 영향 범위에 있습니다. 자격증명이 탈취되지 않아도 그들의 컴퓨팅이 탈취되어 무기화될 수 있습니다.
공격 경로
공격자가 인터넷에 노출된 Ollama 인스턴스(포트 11434, 기본적으로 인증 없음)를 발견합니다. 공격자가 모델 API에 구조화된 프롬프트 엔지니어링 시퀀스를 전송하여, 자율 침투 테스트 파이프라인의 각 단계(지문 인식 → CVE 매칭 → 익스플로잇 합성 → SQL 주입 → 자격증명 추출 → RCE)를 위한 추론 엔진으로 모델을 사용합니다.
영향받는 시스템
0.0.0.0:11434에 기본 설정으로 바인딩되어 있고 인증이 없는 모든 버전의 Ollama; 또한 인증 프록시 없이 인터넷에 노출된 자체 호스팅 오픈 웨이트 모델 서버
완화 방안
Ollama를 localhost에만 바인딩합니다(OLLAMA_HOST=127.0.0.1로 설정). 방화벽/보안 그룹 수준에서 포트 11434를 차단합니다. 외부적으로 접근 가능한 모든 모델 엔드포인트 앞에 인증된 리버스 프록시(nginx + 기본 인증 또는 mTLS)를 배치합니다. IOC 모니터링: VAPTb3gin/VAPTfin 마커 문자열, 소스 IP 122.183.48.82/35/195. 참조: https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools