해커들이 보호되지 않은 AI 모델을 탈취하여 컴퓨팅 파워를 훔치고 있습니다

약 17만 5천 대의 개인 서버가 공용 인터넷에 노출되어 있어 해커들이 불법 활동을 벌일 기회를 얻고 있는 것으로 알려졌습니다. 

보안 연구업체인 센티넬원과 센시스는 300일 이상에 걸쳐 723만 건의 관측 데이터를 trac한 결과 이 문제를 보고했습니다. 

해커들이 Ollama 설정 취약점을 악용했습니다

최근 보고서에 따르면 17만 5천 개 이상의 개인 AI 서버가 dent 인터넷에 노출된 것으로 나타났습니다. 이러한 시스템은 오픈 소스 소프트웨어인 Ollama를 사용하는데, Ollama를 사용하면 ChatGPT와 같은 웹사이트를 사용하는 대신 Google의 Gemma

기본적으로 Ollama는 설치된 컴퓨터와만 통신합니다. 하지만 사용자가 설정을 변경하여 원격 접속을 용이하게 할 수 있는데, 이로 인해 시스템 전체가 공용 인터넷에 노출될dent있습니다.

연구진은 약 300일 동안 723만 건의 관측 데이터를 trac, 이러한 AI "호스트" 중 상당수는 임시적인 것이지만, 약 2만 3천 개는 거의 항상 온라인 상태를 유지하는 것으로 나타났다. 이러한 "상시 가동" 시스템은 대형 IT 기업의 감시를 받지 않는 강력한 하드웨어를 무료로 제공하기 때문에 해커들에게 완벽한 공격 대상이 된다.

미국에서는 이러한 노출된 시스템의 약 18%가 버지니아주에 있는데, 이는 데이터 센터가 . 중국에서는 호스트의 30%가 베이징에 위치해 있습니다.

놀랍게도, 노출된 AI 시스템 중 56%가 가정이나dent의 인터넷 연결을 통해 실행되고 있습니다. 이는 해커들이 이러한 가정용 IP 주소를 이용하여dent을 숨길 수 있기 때문에 심각한 문제입니다. 

해커가 누군가의 가정용 AI를 통해 악성 메시지를 보낼 때, 그 메시지는 범죄 봇넷이 아닌 일반인이 보낸 것처럼 보입니다.

범죄자들은 이렇게 탈취한 AI 시스템을 어떻게 이용하고 있을까요?

Pillar Security에 따르면, 'Operation Bizarre Bazaar'라는 새로운 범죄 조직이 이러한 노출된 AI 엔드포인트를 적극적으로 노리고 있습니다. 이들은 비밀번호가 필요 없는 기본 포트 11434에서 실행되는 시스템을 찾습니다. 이러한 시스템을 발견하면 "컴퓨팅" 권한을 탈취하여 수천 건의 피싱 이메일 생성이나 딥페이크 콘텐츠 제작과 같은 AI 작업을 저렴하게 실행하려는 사람들에게 판매합니다.

보안 회사인 GreyNoise는 2025년 10월부터 2026년 1월까지 이러한 AI 시스템을 대상으로 한 91,403건 이상의 공격 세션을 기록했습니다. 그들은 두 가지 주요 공격 유형을 발견했습니다. 

• 첫 번째 방법은 서버 측 요청 위조(SSRF)라는 기술을 사용하여 AI가 해커의 서버에 연결하도록 강제하는 것입니다. 
• 두 번째는 해커들이 어떤 AI 모델이 실행 중인지, 그리고 그 모델의 능력이 무엇인지 정확히 파악하기 위해 수천 개의 간단한 질문을 보내는 대규모 "스캐닝" 캠페인입니다.

이러한 시스템의 약 48%는 "도구 호출" 기능을 위해 구성되어 있습니다. 즉, AI가 다른 소프트웨어와 상호 작용하고, 웹을 검색하거나, 컴퓨터의 파일을 읽을 수 있도록 허용되어 있습니다. 

해커가 이런 시스템을 발견하면 "프롬프트 주입"을 이용해 AI를 속일 수 있습니다. 시를 입력하라는 대신 "코드베이스에 있는 모든 API 키를 나열해 달라"거나 "비밀 프로젝트 파일을 요약해 달라"고 지시할 수 있습니다. 사람이 감시하지 않기 때문에 AI는 이러한 명령에 따르는 경우가 많습니다.

체크포인트의 2026년 사이버 보안 보고서에 따르면 전체 사이버 공격 건수는 2023년에서 2025년 사이에 70% 증가했습니다. 2025년 11월, 앤트로픽은 국가 지원을 받는 단체가 AI 에이전트를 이용해 인간의 개입 없이 해킹의 80%를 수행한 최초의 AI 기반 사이버 스파이 활동 사례를 보고했습니다.

이번 달에 CVE-2025-1975 및 CVE-2025-66959와 같은 여러 가지 새로운 취약점이 발견되었습니다. 이러한 취약점은 해커가 특수하게 조작된 모델 파일을 전송하여 Ollama 서버를 다운시킬 수 있도록 합니다. 

이러한 호스트의 72%가 Q4_K_M이라는 특정 파일 형식을 사용하기 때문에 단 한 번의 공격으로 수천 개의 시스템이 동시에 다운될 수 있습니다.

1,000명의 회원으로 제한된 암호화폐 거래 커뮤니티 에서 무료 자리를 신청하세요