AI 기술 도입의 빠른 속도와 간과되는 보안 문제에 대한 우려가 커지고 있습니다. 특히 인공지능(AI) 분야에서는 새로운 기술을 서둘러 적용하려는 과정에서 기본적인 보안 수칙이 종종 뒷전으로 밀려나는 경향이 있는데요. 최근 시스코(Cisco)의 탈로스(Talos) 보안 연구팀이 발표한 연구 결과는 이러한 우려를 현실로 보여주고 있습니다.
올라마(Ollama)란 무엇인가요?
먼저, 이번 연구의 핵심인 올라마(Ollama)에 대해 알아볼까요? 올라마는 대규모 언어 모델(Large Language Model, LLM)을 데스크톱이나 서버에서 로컬로 실행할 수 있게 해주는 프레임워크입니다. 사용하기 쉽고 로컬 배포가 가능하다는 장점 덕분에 빠르게 인기를 얻고 있어요. 많은 개발자와 기업들이 올라마를 활용해 자신만의 AI 모델을 구축하고 테스트하고 있습니다.
충격적인 발견: 수많은 올라마 서버가 인터넷에 노출되다
시스코 탈로스 연구팀은 올라마의 이러한 인기에 주목하여 보안 취약점을 조사하기 시작했습니다. 그들은 쇼단(Shodan)이라는 스캐닝 도구를 사용해 인터넷에 노출된 올라마 서버를 찾아냈는데요. 놀랍게도 단 10분 만에 1,000개가 넘는 서버를 발견했으며, 총 1,100개 이상의 올라마 서버가 공용 인터넷에 노출되어 있다는 사실을 확인했습니다.
이 중 약 20%는 현재 활발하게 모델을 호스팅하고 있어 무단 접근에 매우 취약한 상태라고 해요. 나머지 80%는 당장 모델을 실행하고 있지는 않지만, 여전히 무단 모델 업로드나 설정 조작을 통한 악용 가능성이 남아있다고 합니다.
노출된 올라마 서버의 위험성
이렇게 인터넷에 노출된 올라마 서버는 다양한 심각한 보안 위협에 직면하게 됩니다.
- 자원 고갈 및 비용 발생: 공격자가 노출된 LLM에 반복적으로 쿼리를 보내거나 API를 사용하면 서버의 자원이 고갈되거나 호스팅 시스템에 막대한 비용이 발생할 수 있습니다.
- 표적 공격: 많은 서버가 호스트를 식별할 수 있는 정보를 노출하고 있어, 이를 이용한 표적 공격이 가능해집니다.
- 모델 추출 공격: 공격자는 노출된 머신러닝(ML) 서버에 반복적으로 쿼리를 보내 모델의 매개변수를 재구성할 수 있습니다.
- 탈옥(Jailbreaking) 및 콘텐츠 악용: GPT-4, 라마(LLaMA), 미스트랄(Mistral)과 같은 LLM은 조작을 통해 잘못된 정보, 악성코드, 유해한 결과물 등 제한된 콘텐츠를 생성하도록 유도될 수 있습니다.
- 백도어 주입 및 모델 오염: 공격자는 보안되지 않은 모델 엔드포인트를 악용하여 악성 페이로드를 주입하거나 신뢰할 수 없는 모델을 원격으로 로드할 수 있습니다.
심지어 모델이 실행되지 않는 ‘휴면’ 서버라 할지라도, 노출된 인터페이스는 자원 고갈, 서비스 거부(Denial of Service, DoS), 또는 내부망 침투(Lateral Movement)와 같은 공격에 악용될 수 있다고 경고합니다.
어디서 가장 많이 발견되었을까요?
노출된 서버의 지리적 분포를 살펴보면, 미국이 36.6%로 가장 많았고, 이어서 중국이 22.5%, 독일이 8.9%를 차지했습니다. 전 세계적으로 AI 기술 도입이 활발한 국가들에서 이러한 보안 소홀이 나타나고 있다는 점이 주목할 만합니다.
보안 경고: AI 도입 시 간과되는 기본 원칙
시스코 탈로스 연구팀의 수석 사고 대응 아키텍트인 지아니스 치아코우리스(Giannis Tziakouris) 박사는 이번 연구 결과가 “AI 시스템 배포 시 접근 제어, 인증, 네트워크 격리와 같은 기본적인 보안 관행이 광범위하게 무시되고 있음을 보여준다”고 지적했습니다. 조직들이 새로운 기술을 서둘러 도입하는 과정에서, 보안 부서의 조언을 듣고 싶지 않다는 이유로 IT 부서를 건너뛰는 경우가 많다는 것이죠.
그는 오픈AI(OpenAI) 호환 API의 보편적인 채택이 이러한 문제를 더욱 악화시킬 수 있다고 우려합니다. 이는 공격자들이 최소한의 조정만으로 여러 플랫폼에 걸쳐 공격 시도를 확장할 수 있게 만들기 때문입니다.
안전한 AI 환경을 위한 제언
치아코우리스 박사는 이러한 문제를 해결하기 위해 다음과 같은 노력이 필요하다고 강조했습니다.
- 표준화된 보안 기준 개발: AI 시스템 배포를 위한 명확하고 통일된 보안 기준이 마련되어야 합니다.
- 자동화된 감사 도구: 배포된 AI 시스템의 보안 상태를 자동으로 점검하고 취약점을 찾아내는 도구가 필요합니다.
- 개선된 배포 가이드라인: LLM 인프라를 안전하게 배포하기 위한 명확하고 실용적인 가이드라인이 제공되어야 합니다.
또한, 시스코의 쇼단 스캔만으로는 LLM 보안 상황을 완전히 파악하기 어렵다는 점을 인정하며, 적응형 지문 인식(adaptive fingerprinting) 및 능동적 프로빙(active probing) 기술을 포함한 도구 개발과 허깅 페이스(Hugging Face), 트라이튼(Triton), vLLM 등 다른 모델 호스팅 프레임워크에 대한 추가 연구의 필요성도 언급했습니다.
새로운 기술의 도입은 언제나 설렘과 기대를 안겨주지만, 그만큼 신중한 접근과 철저한 준비가 필요하다는 것을 이번 올라마 서버 노출 사례가 다시 한번 일깨워주고 있습니다. AI 시대의 보안은 더 이상 선택이 아닌 필수라는 점을 명심해야 할 것입니다.