무슨 일이 있었나
2026년 6월 12일, Sysdig의 위협 연구팀은 공개적으로 노출되고 인증되지 않은 Ollama 모델 서버를 'VAPT'로 자칭하는 다단계 공격 해킹 프레임워크의 추론 백엔드로 악용하는 위협 행위자를 관찰했습니다. 행위자는 인증되지 않은 모델 추론을 서비스 지문 채취(CPE 매핑), 취약점 매칭, 웹 재연, 필터 회피를 포함한 블라인드 시간 기반 SQL 주입 페이로드 합성, 자격증 추출, 원격 코드 실행이 확인될 때까지의 권한 상승 오케스트레이션을 수행하는 파이프라인에 연결했습니다. 프레임워크는 모든 모델 호출 시 완전한 단계별 지시문을 전송했으며(Sysdig이 전체 아키텍처를 캡처할 수 있도록 함), 기계가 파싱 가능한 JSON 출력을 강제했으며, 손상을 확인하기 위해 탐지 마커 시퀀스(echo VAPTb3gin; id; echo VAPTfin)를 사용했습니다. Sysdig은 2026년 6월 17일에 연구를 발표했습니다. 관찰 기간 동안 프로브는 프라이빗 랩 범위를 대상으로 했으며, 행위자는 프레임워크를 조정 중인 것으로 보였습니다.
왜 중요한가
대략 175,000개의 Ollama 인스턴스가 130개 이상의 국가에서 공개적으로 도달 가능하며 인증이 없어 공격자에게 무료 AI 컴퓨팅을 제공합니다. 이 사건은 LLMjacking-as-API-theft에서 LLMjacking-as-autonomous-offensive-agent로의 진화를 의미합니다: 도용된 모델 용량이 이제 자율주행 익스플로잇 체인의 의사결정 두뇌입니다. 자체 호스팅 Ollama나 유사한 인증되지 않은 모델 서버(llama.cpp, 0.0.0.0에서 수신 중인 LM Studio)를 실행하는 모든 조직은 직접적인 피해 범위 내에 있습니다. 자격증이 도용되지 않아도 그들의 컴퓨팅이 탈취되고 무장화될 수 있습니다.
공격 경로
공격자는 인터넷 노출 Ollama 인스턴스(포트 11434, 기본적으로 인증 없음)를 발견합니다. 공격자는 모델 API에 구조화된 프롬프트 엔지니어링 시퀀스를 전송하여, 자율 침투 테스트 파이프라인의 각 단계에 대한 추론 엔진으로 모델을 사용합니다(지문 채취 → CVE 매칭 → 익스플로잇 합성 → SQL 주입 → 자격증 추출 → RCE).
영향받는 시스템
기본 구성으로 0.0.0.0:11434에 바인딩되고 인증이 없는 모든 버전의 Ollama, 또한 인증 프록시 없이 인터넷에 노출된 자체 호스팅 오픈 웨이트 모델 서버
완화 방안
Ollama를 localhost만으로 바인딩합니다(OLLAMA_HOST=127.0.0.1 설정). 방화벽/보안 그룹 수준에서 포트 11434를 차단합니다. 외부적으로 접근 가능한 모든 모델 엔드포인트 앞에 인증된 리버스 프록시(nginx + 기본 인증 또는 mTLS)를 배치합니다. IOC 모니터링: VAPTb3gin/VAPTfin 마커 문자열, 소스 IP 122.183.48.82/35/195. 참조: https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools