[Hacker News 요약] Ollama에서 발견된 치명적인 인증 우회 메모리 누수 취약점 'Bleeding Llama'
115
설명
최근 Cyera Research는 로컬 LLM 실행 플랫폼인 Ollama에서 심각한 인증 우회 메모리 누수 취약점(CVE-2026-7482, CVSS 9.1)을 발견했다고 발표했습니다. 이 취약점은 'Bleeding Llama'로 명명되었으며, 공격자가 인증 없이 Ollama 프로세스의 전체 메모리를 유출할 수 있게 합니다. 이는 전 세계 약 30만 대의 서버에 영향을 미칠 수 있으며, 사용자 프롬프트, 시스템 프롬프트, 환경 변수 등 민감한 정보가 노출될 위험이 있습니다.
### 배경 설명
Ollama는 최근 몇 년간 폭발적으로 성장한 로컬 대규모 언어 모델(LLM) 실행 플랫폼입니다. OpenAI나 Anthropic과 같은 클라우드 기반 서비스에 의존하지 않고, 사용자의 로컬 머신에서 Llama, Mistral 등의 오픈소스 LLM을 직접 구동할 수 있게 함으로써 개발자와 연구자들에게 큰 인기를 얻었습니다. 특히 프라이버시, 데이터 주권, 비용 효율성 측면에서 강점을 가지며, GitHub에서 17만 개 이상의 스타를 기록하고 Docker Hub에서 1억 회 이상 다운로드되는 등 사실상 로컬 LLM 실행의 표준으로 자리매김했습니다. 이러한 배경 속에서 Ollama의 보안 취약점은 단순히 하나의 소프트웨어 버그를 넘어, 수많은 개발자와 기업이 민감한 데이터를 처리하는 방식에 직접적인 영향을 미칠 수 있다는 점에서 그 중요성이 매우 큽니다. 이번 'Bleeding Llama' 취약점은 이러한 로컬 AI 환경의 보안 취약성이 현실화된 사례로, AI 시대의 데이터 보안에 대한 경각심을 일깨웁니다. 특히, Ollama는 기본적으로 인증 없이 모든 인터페이스(0.0.0.0)에서 수신 대기하므로, 이 취약점은 외부에서 접근 가능한 모든 Ollama 인스턴스에 즉각적인 위협이 됩니다.
### Ollama의 모델 생성 및 GGUF 파일 형식
Ollama는 크게 두 가지 방식으로 모델 인스턴스를 생성합니다. 첫째는 `/api/pull` 엔드포인트를 통해 Ollama 레지스트리에서 기존 모델을 다운로드하는 방식이고, 둘째는 `/api/create` 엔드포인트를 통해 사용자가 직접 업로드한 파일(주로 GGUF 형식)을 기반으로 커스텀 모델을 빌드하는 방식입니다. GGUF(GPT-Generated Unified Format)는 LLM을 효율적으로 로드하고 로컬에서 실행하기 위한 파일 형식으로, 모델의 학습된 매개변수(텐서)와 메타데이터를 포함합니다. 이 메타데이터 중 텐서의 'shape' 정보는 텐서의 차원과 요소 수를 정의하며, 이 부분이 이번 취약점의 핵심이 됩니다.
### 취약점의 기술적 상세 분석: Out-of-Bounds Read
취약점은 Go 언어의 `unsafe` 패키지를 사용하여 저수준 메모리 조작을 수행하는 `ggml.ConvertToF32` 함수에서 발생합니다. 모델 생성 과정 중 GGUF 파일의 텐서 데이터를 F16에서 F32로 변환하는 `ggml_fp16_to_fp32_row` 함수가 호출될 때, 공격자가 조작한 GGUF 파일의 텐서 'shape' 필드에 매우 큰 값을 설정하면 문제가 발생합니다. Ollama는 이 'shape' 필드에 명시된 요소 수만큼 메모리를 읽으려 시도하지만, 실제 데이터 버퍼의 크기는 훨씬 작기 때문에, 버퍼의 끝을 넘어 힙 메모리 영역을 읽는 Out-of-Bounds Read가 발생합니다. 이 과정에서 모델 데이터뿐만 아니라 힙 메모리에 남아있던 다른 민감한 데이터(사용자 메시지, 시스템 프롬프트, 환경 변수 등)가 함께 읽히게 됩니다.
### 데이터 유출 및 악용 시나리오
힙 메모리에서 읽어온 데이터는 여러 변환 과정을 거치지만, 공격자는 텐서 타입을 F16으로 설정하고 타겟 포맷을 F32로 요청하는 '무손실 변환' 트릭을 사용하여 데이터 손상 없이 유출된 정보를 보존할 수 있습니다. 이렇게 생성된 모델 파일은 민감한 힙 데이터를 포함하게 됩니다. 이후 공격자는 `/api/push` 엔드포인트를 사용하여 이 모델 파일을 외부 공격자 서버로 전송합니다. Ollama는 모델 이름이 HTTP URI 형식일 경우 해당 URI로 모델을 업로드하는 기능을 제공하며, 모델 이름에 대한 유효성 검사가 없어 공격자가 제어하는 서버 주소를 모델 이름으로 지정할 수 있습니다. 이 세 가지 API 호출(파일 업로드, 모델 생성, 모델 푸시)만으로 공격자는 인증 없이 Ollama 서버의 민감한 힙 메모리 데이터를 탈취할 수 있습니다.
### 취약점의 심각한 영향과 공개 타임라인
Ollama는 기본적으로 인증 없이 모든 네트워크 인터페이스에서 실행되므로, 인터넷에 노출된 약 30만 대의 서버가 잠재적인 공격 대상이 됩니다. 공격자는 사용자 프롬프트, 시스템 프롬프트, 호스트 머신의 환경 변수 등 매우 민감한 정보를 탈취할 수 있으며, 이는 기업의 API 키, 독점 코드, 고객 계약 등 기밀 데이터 유출로 이어질 수 있습니다. 특히 Ollama가 Claude Code와 같은 도구와 연동될 경우, 도구의 모든 출력이 Ollama 서버를 통해 흐르므로 피해 범위는 더욱 커집니다. Cyera Research는 2026년 2월 2일에 Ollama에 취약점을 보고했으며, CVE-2026-7482가 2026년 5월 1일에 할당 및 공개되었습니다.
### 가치와 인사이트
이번 Ollama 취약점은 로컬 AI 환경의 보안에 대한 경각심을 높이는 중요한 사례입니다. 개발자들은 메모리 안전 언어(Go)를 사용하더라도 `unsafe`와 같은 저수준 기능을 사용할 때는 극도의 주의를 기울여야 하며, 입력 유효성 검사의 중요성을 다시 한번 상기해야 합니다. 기업 및 개인 사용자는 즉시 Ollama를 최신 버전으로 업데이트하여 패치를 적용해야 합니다. 또한, Ollama 인스턴스를 인터넷에 직접 노출하는 것을 피하고, 방화벽, 접근 제어 목록(ACL) 등을 통해 네트워크 접근을 제한하며, 최소한의 권한으로 실행하는 등의 보안 강화 조치를 취해야 합니다. AI 모델이 처리하는 데이터의 민감성을 고려할 때, AI 인프라 전반에 걸친 보안 감사가 필수적임을 보여줍니다.
### 기술·메타
- Go 언어
- Ollama (로컬 LLM 실행 플랫폼)
- GGUF (GPT-Generated Unified Format)
- 대규모 언어 모델 (LLM)
- 메모리 누수 (Memory Leak)
- Out-of-Bounds Read
- CVE-2026-7482
### 향후 전망
이번 'Bleeding Llama' 취약점은 Ollama 프로젝트에 중요한 보안 강화의 계기가 될 것입니다. 단기적으로는 사용자들에게 신속한 패치 적용의 중요성을 강조하고, Ollama 개발팀은 유사한 저수준 메모리 조작 코드에 대한 철저한 감사와 보안 검토 프로세스 강화를 추진할 것으로 예상됩니다. 장기적으로는 로컬 LLM 플랫폼 전반에 걸쳐 보안 표준과 모범 사례가 더욱 강조될 것입니다. Ollama와 같은 오픈소스 프로젝트는 커뮤니티의 기여와 감시를 통해 더욱 견고해질 수 있으므로, 보안 연구자들의 지속적인 관심과 참여가 중요합니다. 또한, 기업 환경에서 Ollama를 사용하는 경우, 네트워크 격리, 접근 제어, 입력 유효성 검사 등 추가적인 보안 계층을 마련하는 것이 필수적이라는 인식이 확산될 것입니다. 궁극적으로 이번 사건은 AI 모델의 배포 및 운영 환경 전반에 걸쳐 '보안을 내재화하는(security by design)' 접근 방식의 중요성을 다시 한번 상기시키는 계기가 될 것입니다. 경쟁 제품들 역시 자사 플랫폼의 보안성을 강조하며 차별화를 꾀할 가능성도 있습니다.
📝 원문 및 참고
- Source: Hacker News
- 토론(HN): [news.ycombinator.com](https://news.ycombinator.com/item?id=48066322)
- 원문: [링크 열기](https://www.cyera.com/research/bleeding-llama-critical-unauthenticated-memory-leak-in-ollama)
---
출처: Hacker News · [원문 링크](https://www.cyera.com/research/bleeding-llama-critical-unauthenticated-memory-leak-in-ollama)
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.