개인과 중소기업들이 대형 언어 모델을 구축할 수 있게 해 주는 오픈소스 프레임워크에서 취약점이 발견됐다. 총 6개로, 4개는 패치가 됐는데 2개는 아직이다. 이는 해당 프레임워크의 관리자들이 2개를 취약점으로 인정하지 않고 있기 때문이다.
[보안뉴스 문가용 기자] 오픈소스 인공지능 프레임워크인 올라마(Ollama)에서 6개의 취약점이 발견됐다. 보안 업체 올리고시큐리티(Oligo Security)에서 발견한 것으로, 이 중 4개의 취약점에는 CVE 번호가 부여됐으나 나머지 2개는 CVE 번호는커녕 패치도 나오지 않을 예정이다. 이는 올라마의 유지 보수 팀이 그 2개를 취약점으로 인정하지 않고 있기 때문이다.
[이미지 = gettyimagesbank]
올라마는 개인 또는 기업이 별도의 하드웨어나 서비스 구비 없이 로컬에서 대형 언어 모델(LLM)을 구동할 수 있게 해 주는 오픈소스 애플리케이션이다. 깃허브에서 9만 3천 개의 별을 받을 정도로 인기가 높고 널리 사용되고 있다. 사용하기 간편하기 때문에 중소기업들이 생산성 강화를 위해 빠르게 도입하고 있는 것으로 알려져 있다. 성능도 좋은 데다가 안정적이며, x86과 ARM 기반 CPU와 엔비디아 GPU, 애플의 칩셋과도 호환된다.
여섯 개의 취약점을 정리하면 다음과 같다.
1) CVE-2024-39720 : 디도스 공격 취약점(CWE-125)
2) CVE-2024-39722 : 파일 존재 여부 공개(CWE-22)
3) CVE-2024-39719 : 파일 존재 여부 노출(CWE-497)
4) CVE-2024-39721 : 무한 루프 및 서비스 거부(CWE-400)
5) 인공지능 모델 오염(CWE-668)
6) 인공지능 모델 도난(CWE-285)
이 6개의 취약점은 올라마가 인터넷에 노출된 서버에 탑재되어 있을 때 악용될 가능성이 높다. 올라마를 활용하고 있는 기업의 경우, 올라마가 운영되고 있는 서버가 인터넷에 어떤 식으로 노출되어 있는지를 확인하고 관리하는 것이 안전하다고 올리고시큐리티 측은 권고한다. 물론 최신 패치를 적용하는 것은 당연하다. “0.1.47 버전을 통해 최신 패치를 받을 수 있습니다. 다만 CVE 번호가 없는 두 건의 취약점은 해당 사항이 없습니다.”
1) CVE-2024-39720 / CWE-125
- URI : /api/create
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 올라마 0.1.45 및 이하 버전 / 0.1.46에서 패치됨
- 익스플로잇 결과 : 디도스 공격
2) CVE-2024-39722 / CWE-22
- URI : api/push
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 올라마 0.1.45 및 이하 버전 / 0.1.46에서 패치됨
- 익스플로잇 결과 : 특정 파일이 서버 내에 존재하는지 존재하지 않는지를 공격자가 확인할 수 있게 해 줌.
3) CVE-2024-39719 / CWE-497
- URI : api/create
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.3.14 버전 기준으로 패치되지 않음
- 익스플로잇 결과 : 특정 파일이 서버 내에 존재하는지 존재하지 않는지를 공격자가 확인할 수 있게 해 줌.
4) CVE-2024-39721 / CWE-400
- URI : api/create
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.1.33 이하 버전
- 익스플로잇 결과 : 디도스 공격
5) CWE-668
- URI : api/pull
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.1.34 이하 버전
- 익스플로잇 결과 : api/pull 경로를 통해 인공지능 모델을 오염시킬 수 있음. 이를 통해 디스크를 가득 채워 디도스 공격과 비슷한 효과를 내는 것도 가능.
6) CWE-285
- URI : api/push
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.1.34 이하 버전
- 익스플로잇 결과 : api/push 경로를 통해 인공지능 모델을 탈취하는 것이 가능.
위에서 언급했다시피 마지막 두 개의 취약점에 대해서는 논란이 있다. 올라마의 유지 관리 측에서는 마지막 두 개의 취약점을 두고 “웹 애플리케이션, 프록시, 로드 밸런서 등을 사용하여 최종 사용자에게 노출되는 엔드포인트를 걸러내는 것은 반드시 해야 하는 보안 조치”라며 “이런 보안 조치를 무시했을 때 나타나는 현상을 취약점이라고 보기는 어렵다”는 입장이다. 즉 “애초에 엔드포인트를 노출시키지 않는 게 기본이며, 이 기본이 지켜지지 않는다는 가정 하에 연구된 취약점을 취약점으로 볼 수 없다”는 뜻이다.
하지만 올리고시큐리티는 이를 두고 “엔드포인트를 아무도 노출시키지 않을 거라고 보는 건 위험한 가정”이라고 반박한다. “모든 사용자들이 보안 인식이 투철합니까? 그렇지 않다는 것이 이미 수십년 째 반복 증명되고 있는 상황인데, 이것을 올라마 측이 인정하지 않는다는 것이 오히려 놀랍습니다. 누군가는 올라마를 사용하면서 HTTP 라우팅을 필터링하지 않을 수 있습니다. 충분히 있을 수 있는 일이죠.”
올리고시큐리티는 현재 인터넷에 노출된 올라마의 인스턴스들이 얼마나 되는지, 또 어떤 상태인지를 파악하기 위해 인터넷을 스캔했다. 그 결과 약 1만 개의 고유한 IP 주소에서 올라마가 실행되고 있다는 것을 알 수 있었다고 한다. “그 중 최소 25%가 위에서 언급된 여섯 개의 취약점 중 하나 이상을 가지고 있었습니다. 올라마가 탑재된 서버의 기본 보안 사항을 강화하는 것도 중요한 일이 되겠습니다.”
3줄 요약
1. 오픈소스 인공지능 프레임워크인 올라마에서 여섯 개의 취약점 발견됨.
2. 디도스 공격, 정보 노출, 인공지능 모델 감염 등 다양한 공격을 할 수 있게 해줌.
3. 하지만 6개중 2개는 취약점 논란이 있어 아직 패치되지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 오픈소스 인공지능 프레임워크인 올라마(Ollama)에서 6개의 취약점이 발견됐다. 보안 업체 올리고시큐리티(Oligo Security)에서 발견한 것으로, 이 중 4개의 취약점에는 CVE 번호가 부여됐으나 나머지 2개는 CVE 번호는커녕 패치도 나오지 않을 예정이다. 이는 올라마의 유지 보수 팀이 그 2개를 취약점으로 인정하지 않고 있기 때문이다.
[이미지 = gettyimagesbank]
올라마는 개인 또는 기업이 별도의 하드웨어나 서비스 구비 없이 로컬에서 대형 언어 모델(LLM)을 구동할 수 있게 해 주는 오픈소스 애플리케이션이다. 깃허브에서 9만 3천 개의 별을 받을 정도로 인기가 높고 널리 사용되고 있다. 사용하기 간편하기 때문에 중소기업들이 생산성 강화를 위해 빠르게 도입하고 있는 것으로 알려져 있다. 성능도 좋은 데다가 안정적이며, x86과 ARM 기반 CPU와 엔비디아 GPU, 애플의 칩셋과도 호환된다.
여섯 개의 취약점을 정리하면 다음과 같다.
1) CVE-2024-39720 : 디도스 공격 취약점(CWE-125)
2) CVE-2024-39722 : 파일 존재 여부 공개(CWE-22)
3) CVE-2024-39719 : 파일 존재 여부 노출(CWE-497)
4) CVE-2024-39721 : 무한 루프 및 서비스 거부(CWE-400)
5) 인공지능 모델 오염(CWE-668)
6) 인공지능 모델 도난(CWE-285)
이 6개의 취약점은 올라마가 인터넷에 노출된 서버에 탑재되어 있을 때 악용될 가능성이 높다. 올라마를 활용하고 있는 기업의 경우, 올라마가 운영되고 있는 서버가 인터넷에 어떤 식으로 노출되어 있는지를 확인하고 관리하는 것이 안전하다고 올리고시큐리티 측은 권고한다. 물론 최신 패치를 적용하는 것은 당연하다. “0.1.47 버전을 통해 최신 패치를 받을 수 있습니다. 다만 CVE 번호가 없는 두 건의 취약점은 해당 사항이 없습니다.”
1) CVE-2024-39720 / CWE-125
- URI : /api/create
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 올라마 0.1.45 및 이하 버전 / 0.1.46에서 패치됨
- 익스플로잇 결과 : 디도스 공격
2) CVE-2024-39722 / CWE-22
- URI : api/push
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 올라마 0.1.45 및 이하 버전 / 0.1.46에서 패치됨
- 익스플로잇 결과 : 특정 파일이 서버 내에 존재하는지 존재하지 않는지를 공격자가 확인할 수 있게 해 줌.
3) CVE-2024-39719 / CWE-497
- URI : api/create
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.3.14 버전 기준으로 패치되지 않음
- 익스플로잇 결과 : 특정 파일이 서버 내에 존재하는지 존재하지 않는지를 공격자가 확인할 수 있게 해 줌.
4) CVE-2024-39721 / CWE-400
- URI : api/create
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.1.33 이하 버전
- 익스플로잇 결과 : 디도스 공격
5) CWE-668
- URI : api/pull
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.1.34 이하 버전
- 익스플로잇 결과 : api/pull 경로를 통해 인공지능 모델을 오염시킬 수 있음. 이를 통해 디스크를 가득 채워 디도스 공격과 비슷한 효과를 내는 것도 가능.
6) CWE-285
- URI : api/push
- 메소드 : POST
- 사용자와의 상호 작용 : 필요 없음
- 영향을 미치는 버전 : 0.1.34 이하 버전
- 익스플로잇 결과 : api/push 경로를 통해 인공지능 모델을 탈취하는 것이 가능.
위에서 언급했다시피 마지막 두 개의 취약점에 대해서는 논란이 있다. 올라마의 유지 관리 측에서는 마지막 두 개의 취약점을 두고 “웹 애플리케이션, 프록시, 로드 밸런서 등을 사용하여 최종 사용자에게 노출되는 엔드포인트를 걸러내는 것은 반드시 해야 하는 보안 조치”라며 “이런 보안 조치를 무시했을 때 나타나는 현상을 취약점이라고 보기는 어렵다”는 입장이다. 즉 “애초에 엔드포인트를 노출시키지 않는 게 기본이며, 이 기본이 지켜지지 않는다는 가정 하에 연구된 취약점을 취약점으로 볼 수 없다”는 뜻이다.
하지만 올리고시큐리티는 이를 두고 “엔드포인트를 아무도 노출시키지 않을 거라고 보는 건 위험한 가정”이라고 반박한다. “모든 사용자들이 보안 인식이 투철합니까? 그렇지 않다는 것이 이미 수십년 째 반복 증명되고 있는 상황인데, 이것을 올라마 측이 인정하지 않는다는 것이 오히려 놀랍습니다. 누군가는 올라마를 사용하면서 HTTP 라우팅을 필터링하지 않을 수 있습니다. 충분히 있을 수 있는 일이죠.”
올리고시큐리티는 현재 인터넷에 노출된 올라마의 인스턴스들이 얼마나 되는지, 또 어떤 상태인지를 파악하기 위해 인터넷을 스캔했다. 그 결과 약 1만 개의 고유한 IP 주소에서 올라마가 실행되고 있다는 것을 알 수 있었다고 한다. “그 중 최소 25%가 위에서 언급된 여섯 개의 취약점 중 하나 이상을 가지고 있었습니다. 올라마가 탑재된 서버의 기본 보안 사항을 강화하는 것도 중요한 일이 되겠습니다.”
3줄 요약
1. 오픈소스 인공지능 프레임워크인 올라마에서 여섯 개의 취약점 발견됨.
2. 디도스 공격, 정보 노출, 인공지능 모델 감염 등 다양한 공격을 할 수 있게 해줌.
3. 하지만 6개중 2개는 취약점 논란이 있어 아직 패치되지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
