무슨 일이 있었나
2026년 6월 12일, Sysdig 위협 연구팀은 공격자가 공개적으로 노출된 인증되지 않은 Ollama 모델 서버를 자율 펜테스팅 프레임워크의 추론 엔진으로 사용하는 것을 관찰했습니다. 공격자는 모델을 다단계 취약점 발견 및 악용 파이프라인에 직접 통합하여 'LLMjacking'의 진화를 유료 추론 API 도용에서 자동화된 공격 작업을 위한 자체 호스팅 AI 인프라의 무기화로 표시합니다.
왜 중요한가
이는 새로운 공격 클래스를 나타냅니다: 노출된 자체 호스팅 AI 모델을 다단계 사이버 공격을 위한 자율 의사 결정 계층으로 사용합니다. 기존 악성코드와 달리 공격에는 추론 능력이 내장되어 있습니다—모델은 어떤 취약점을 우선순위로 할지, 익스플로잇을 어떻게 만들지, 언제 실행할지에 대해 전술적 결정을 내립니다. 위협 행위자는 모든 요청에서 완전한 명령어를 보내기 때문에 전체 프레임워크 아키텍처를 캡처했으며, `VAPTb3gin` 및 `VAPTfin` 같은 서명을 드러냈고 탐지에 사용할 수 있습니다. 이는 AI 인프라 도용에서 AI 기반 자율 공격 작업으로의 전환을 나타냅니다.
공격 경로
공격자는 공개적으로 노출된 인증이 없는 Ollama 모델 서버를 발견하고, 인증되지 않은 모델 추론을 자동화된 다단계 공격 프레임워크(VAPT)에 통합하고, 프레임워크는 대상을 스캔하고, 알려진 CVE와 일치시키고, 개념 증명 익스플로잇을 합성하고, 모델이 각 단계에서 자율 결정을 내리며 손상을 시도하고, 공격자가 전체 공격 파이프라인을 제어합니다.
영향받는 시스템
Ollama 모델 서버 (기본 인증되지 않은 HTTP 모드의 모든 버전)
완화 방안
Ollama 서버의 인터넷 노출을 차단하고, 역프록시 또는 네트워크 컨트롤을 통해 인증을 추가하고, 모든 모델 엔드포인트에 API 키를 요구하고, `VAPTb3gin`, `VAPTfin`, `echo VAPTb3gin; id; echo VAPTfin`과 같은 명령 시퀀스와 같은 공격 도구 마커에 대한 Ollama 엔드포인트를 모니터링합니다.