Ollama에 불을 지른 DeepSeek, 로컬 배포는 안전한가요? "훔친" 산술에 주의하세요!

최근 몇 년 동안 대규모 언어 모델링(LLM) 기술은 전례 없는 속도로 성장하고 있으며 다양한 산업 분야에 점차 침투하고 있습니다. 이와 동시에 LLM의 로컬 배포에 대한 수요도 증가하고 있습니다. 편리한 로컬 대규모 모델 배포 도구인 ollama는 사용 편의성과 다음과 같은 기능으로 잘 알려져 있습니다. DeepSeek 및 기타 고급 모델은 개발자와 기술 애호가들이 선호합니다.

그러나 기술적인 편리함을 추구하다 보면 보안 위험을 간과하기 쉽습니다. 일부 사용자가 로컬에 배포 Ollama 서비스 이후 부적절한 설정이나 보안 인식 부족으로 인해 올라마 서비스 포트가 인터넷에 노출되어 잠재적인 보안 위험에 노출될 수 있습니다. 본 백서에서는 이러한 보안 위험을 처음부터 끝까지 분석하고 그에 따른 예방책을 제시합니다.

올라마의 편의성과 잠재적인 안전 위험성

올라마의 등장으로 대규모 언어 모델의 로컬 배포 및 사용에 대한 장벽이 낮아져 사용자들은 자신의 PC나 서버에서 DeepSeek와 같은 고성능 모델을 쉽게 실행할 수 있게 되었습니다. 이러한 편리함은 많은 사용자를 끌어모았지만 무시할 수 없는 문제도 발생했습니다:올라마 서비스는 기본 구성에서 인터넷에 의한 무단 액세스의 위험에 노출될 수 있습니다.

특히 사용자가 수신 주소 제한이나 방화벽 규칙 설정 등 필요한 보안 구성을 하지 않고 Ollama 서비스를 배포하는 경우, Ollama가 기본적으로 수신하는 11434 포트가 공개적으로 개방될 수 있습니다. 즉, 모든 인터넷 사용자가 네트워크를 통해 Ollama 서비스에 액세스할 수 있습니다.컴퓨팅 리소스를 무료로 사용하면 더 심각한 보안 문제가 발생할 수도 있습니다.

인터넷에서 노출된 올라마 서비스를 찾는 방법은 무엇인가요? -- FOFA 검색 엔진

올라마 서비스가 인터넷에 노출되는 정도와 잠재적 위험의 범위를 파악하려면 사이버 공간 검색 엔진의 도움이 필요합니다.FOFA 전 세계에 공개적으로 노출된 웹 서비스를 빠르게 검색하고 찾을 수 있도록 도와주는 강력한 도구입니다.

FOFA 검색 문을 신중하게 구성하면 Ollama 서비스 포트를 인터넷에 노출하는 호스트를 효과적으로 찾을 수 있습니다. 예를 들어, 다음 FOFA 검색 문은 포트 11434가 열려 있고 상태 코드가 200인 대상을 찾는 데 사용할 수 있습니다:

port="11434" && status_code="200"

위의 검색을 수행하면 FOFA는 대중에게 공개된 Ollama 서비스를 실행하고 있을 가능성이 있는 적격 대상 IP 주소를 나열합니다.

3. 오픈 올라마 서비스를 연결하고 "창녀"로 만드는 방법은 무엇인가요? -- 채팅박스 및 체리 스튜디오

FOFA를 통해 개방형 올라마 서비스 인터페이스를 찾았다면 다음 단계는 클라이언트 측 도구를 사용하여 연결하고 상호 작용하는 것입니다.채팅박스 노래로 응답 체리 스튜디오 는 일반적으로 사용되는 두 가지 AI 클라이언트 소프트웨어로, 모두 모델 통화 및 대화를 통해 올라마 서비스에 연결할 수 있도록 지원합니다.

3.1 ChatBox를 사용하여 오픈 올라마 서비스에 연결하기

채팅박스 단순하고 사용하기 쉬운 것으로 유명한 Open Ollama 서비스에 연결하는 단계는 매우 간단합니다:

1. ChatBox 클라이언트 다운로드 및 설치.
2. API 주소를 구성합니다: 존재 채팅박스 설정에서 API 주소를 대상 서버의 IP 주소 및 포트로 설정합니다(예 http://目标IP:11434/.
3. 모델을 선택하고 대화를 시작합니다: 구성이 완료되면 모델을 선택하고 원격 Ollama 서비스와의 대화를 시작할 수 있습니다.

3.2 Cherry Studio로 Open Ollama 서비스에 연결하기

체리 스튜디오 더 포괄적이며 대화 기능 외에도 지식창고 관리와 같은 고급 기능을 지원합니다. 연결 단계는 다음과 같습니다:

1. Cherry Studio 클라이언트 다운로드 및 설치.
2. 올라마 인터페이스를 구성합니다: 존재 체리 스튜디오 "설정" → "모델 서비스" → "올라마"에서 API 주소를 다음과 같이 설정합니다. http://目标IP:11434.
3. 모델을 추가하고 유효성을 검사합니다: 모델 관리 페이지에서 "deepseek-r1:1.5b"와 같이 대상 모델을 추가하고 연결을 테스트하면 성공 후 사용할 수 있습니다.

채팅박스나 체리 스튜디오와 같은 클라이언트를 통해 사용자는 인터넷에 노출된 올라마 서비스에 쉽게 연결할 수 있습니다.타인의 컴퓨팅 리소스 및 모델링 기능의 무단 사용 금지.

임의의 주소를 얻은 후 기본적으로 Ollama 모델 읽기를 지원하는 웹 플러그인을 사용해 보세요. 페이지 지원 가운데 대화:

4. '공짜 점심' 뒤에 숨겨진 보안 위험: 전력 도난, 데이터 유출 및 법적 함정

겉으로 보이는 '공짜 점심'의 이면에는 많은 보안 위험과 잠재적인 법적 문제가 숨어 있습니다:

• 산술적 도용(리소스 오용). 가장 즉각적인 위험은 Ollama 서비스 제공업체의 GPU 컴퓨팅 성능을 다른 사람이 보상 없이 가져가 리소스 낭비와 성능 저하를 초래하는 것입니다. 공격자는 자동화된 스크립트를 사용하여 개방형 Ollama 서비스를 대량으로 스캔하고 연결하여 GPU를 악성 모델 학습을 위한 '작업장'으로 전환할 수 있습니다.
• 데이터 유출. 올라마 서비스에서 민감한 데이터가 저장되거나 처리되는 경우, 개방형 네트워크 환경에서 이러한 데이터가 유출될 위험이 있습니다. 사용자의 대화 로그, 트레이닝 데이터 등이 암호화되지 않은 채널을 통해 전송되어 악의적으로 엿듣거나 도용될 수 있습니다.
• 판매용 모델. 암호화되지 않은 모델 파일은 쉽게 다운로드 및 복사가 가능하며, 상업적으로 가치 있는 산업 분야의 대형 모델이 올라마 서비스에서 사용될 경우 해당 모델이 도용되어 판매될 위험이 있어 막대한 금전적 손실을 초래할 수 있습니다.
• 시스템 침입. 올라마 서비스 자체에는 해커가 악용할 경우 원격 코드 실행으로 이어져 공격자가 피해자의 서버를 완전히 제어할 수 있는 보안 취약점이 있을 수 있습니다.로 변경대규모 사이버 공격을 실행하는 데 사용되는 봇넷의 일부입니다.
• 법적 위험. 타인의 올라마 서비스에 무단으로 액세스하여 사용하거나 악의적으로 사용하는 행위는 관련 법규를 위반할 수 있으며 법적 책임을 질 수 있습니다.

5. 중국 사용자가 더 안전한가요? -- 동적 IP는 절대적인 장벽이 아닙니다.

"중국 사용자들은 독립적인 IP를 적게 보유하고 있기 때문에 이러한 '화이트 워킹' 위험으로부터 상대적으로 안전하다"는 주장도 있습니다. 이러한 견해는 다소 일방적입니다.

중국 가정용 브로드밴드 사용자의 비율이 서구 국가에 비해 높은 것은 사실이며, 이로 인해 노출 위험이 어느 정도 감소합니다. 동적 IP의 불확실성으로 인해 공격자는 시간이 지남에 따라 특정 사용자를 추적하고 위치를 파악하기 어렵습니다.

하지만 그렇다고 해서 중국 사용자가 안심할 수 있는 것은 아닙니다. 첫째, 중국 인터넷 환경에는 여전히 많은 수의 올라마 서버가 있으며, 그중에는 고정 IP를 사용하는 서버도 다수 포함되어 있습니다. 둘째, 동적 IP라도 일정 기간 동안 변경되지 않을 수 있으며, 공격자는 IP 주소가 변경되지 않은 기간 동안 공격을 수행할 수 있습니다. 더 중요한 것은보안은 '운'이나 '자연적인 장벽'에 맡겨서는 안 되며, 사전 예방적 보안 조치를 기반으로 해야 합니다.

6. 로컬 올라마 서비스 보안 가이드라인: '브로일러'가 되지 않기

로컬에 배포된 올라마 서비스를 다른 사람이 악용하지 못하도록 보호하려면 사용자는 사전 예방적이고 효과적인 보안 조치를 취해야 합니다. 다음은 초보 사용자를 위한 몇 가지 지침입니다:

6.1 올라마 서비스 수신 주소 제한하기

기본값에서 올라마 서비스의 수신 주소를 변경합니다. 0.0.0.0 로 수정 127.0.0.1괜찮습니다.올라마 서비스가 로컬 머신의 요청만 수신하고 외부 네트워크의 직접 액세스를 거부하도록 합니다. 단계는 다음과 같습니다:

1. 구성 파일을 찾습니다: Ollama의 구성 파일은 일반적으로 /etc/ollama/config.conf.. 파일을 열고(파일이 없는 경우 생성), 파일을 찾거나 추가합니다. bind_address 구성 항목입니다.
2. 바인딩 주소를 수정합니다: 최고 사령관(군) bind_address 의 값으로 설정됩니다. 127.0.0.1그리고 port 로 설정 11434. 전체 구성 예는 아래에 나와 있습니다:

   bind_address = 127.0.0.1
   port = 11434
   

3. 서비스를 저장하고 다시 시작합니다: 구성 파일을 저장한 후 sudo systemctl restart ollama 명령을 사용하여 Ollama 서비스를 다시 시작해야 구성을 적용할 수 있습니다.

6.2 방화벽 규칙 구성

방화벽 규칙을 구성하여 다음을 수행할 수 있습니다.올라마 서비스에 액세스할 수 있는 IP 주소와 포트의 범위를 정밀하게 제어할 수 있습니다. 예를 들어 LAN의 IP 주소만 포트 11434에 액세스하도록 허용하고 공용 네트워크의 모든 액세스 요청을 차단할 수 있습니다. 다음은 각각 Windows 및 Linux 환경에서 방화벽을 구성하는 방법에 대해 설명합니다:

Windows 환경 구성 단계

1. 고급 보안 Windows Defender 방화벽을 켭니다: "제어판"에서 "시스템 및 보안"을 찾아 "Windows Defender 방화벽"을 클릭한 다음 "고급 설정"을 선택합니다. 고급 설정"을 선택합니다.
2. 새 인바운드 규칙을 만듭니다: "인바운드 규칙"에서 "새 규칙..."을 클릭하고 "포트" 규칙 유형을 선택한 후 "다음"을 클릭합니다. 다음"을 클릭합니다.
3. 포트와 프로토콜을 지정합니다: 프로토콜은 "TCP"로 선택되고 특정 로컬 포트는 다음과 같이 설정됩니다. 11434를 클릭하고 "다음"을 클릭합니다.
4. 작업을 선택합니다: "연결 허용"을 선택하고 "다음"을 클릭합니다.
5. 범위를 구성합니다(선택 사항): 필요에 따라 규칙 범위를 구성할 수 있으며, 일반적으로 기본 설정을 그대로 유지하고 다음을 클릭합니다.
6. 이름과 설명을 지정합니다: 규칙에 쉽게 알아볼 수 있는 이름을 지정하고(예: "Ollama 서비스 포트 제한"), 설명을 추가(선택 사항)한 다음 "마침"을 클릭하여 규칙 생성을 완료합니다.

Linux 환경(예: ufw 방화벽) 구성 단계:

1. ufw 방화벽을 활성화합니다: ufw가 아직 활성화되지 않은 경우 터미널에서 다음을 실행합니다. sudo ufw enable 명령을 사용하여 방화벽을 활성화합니다.
2. LAN 액세스를 허용합니다: 수행 sudo ufw allow from 192.168.1.0/24 to any port 11434 명령을 사용하면 192.168.1.0/24 LAN 세그먼트의 IP 주소는 포트 11434에 액세스합니다. 실제 LAN 세그먼트에 따라 IP 주소 범위를 수정하세요.
3. 다른 액세스 거부(선택 사항): 기본 정책이 모든 외부 액세스를 허용하는 것이면 sudo ufw deny 11434 명령을 사용하여 다른 모든 소스의 IP 주소에 대한 포트 11434 액세스를 거부할 수 있습니다.
4. 방화벽 상태를 확인합니다: 수행 sudo ufw status verbose 명령을 사용하여 방화벽 규칙 상태를 확인하고 구성이 적용되었는지 확인합니다.

6.3 인증 및 액세스 제어 활성화하기

외부에서 올라마 서비스를 제공해야 하는 시나리오의 경우 다음을 수행해야 합니다.인증 메커니즘 활성화. 를 사용하여 무단 액세스를 방지할 수 있습니다. 다음은 몇 가지 일반적인 인증 방법입니다:

• HTTP 기본 인증: HTTP 기본 인증은 Apache 또는 Nginx와 같은 웹 서버를 통해 구성할 수 있습니다. 이 방법은 간단하고 사용하기 쉽지만 보안이 상대적으로 낮기 때문에 높은 보안이 필요하지 않은 시나리오에 적합합니다. 기본 인증을 구성한 후 사용자는 올라마 서비스에 액세스할 때 사용자 이름과 비밀번호를 제공해야 합니다.
• API 키: 올라마 서비스 프런트엔드에 API 키 확인 메커니즘을 추가합니다. 클라이언트가 올라마 서비스를 요청할 때 요청 헤더 또는 요청 파라미터에 미리 정의된 API 키를 포함해야 합니다. 서버 측에서는 키의 유효성을 확인하고 올바른 키가 포함된 요청만 처리합니다. 이 접근 방식은 기본 인증보다 더 안전하며 애플리케이션에 쉽게 통합할 수 있습니다.
• OAuth 2.0과 같은 고급 인증 권한 부여 메커니즘: 보안 요구 사항이 더 높은 시나리오의 경우 OAuth 2.0과 같은 더 복잡한 인증 및 권한 부여 프레임워크를 고려할 수 있습니다. OAuth 2.0은 완벽한 권한 부여 및 인증 프로세스를 제공하고 여러 권한 부여 모드를 지원하며 세분화된 액세스 제어를 달성할 수 있습니다. 그러나 OAuth 2.0의 구성 및 통합은 비교적 복잡하며 어느 정도의 개발 노력이 필요합니다.

인증 방법의 선택은 애플리케이션 시나리오, 보안 요구 사항, 올라마 서비스의 기술적 구현 비용 등 여러 요소를 종합적으로 고려하여 결정해야 합니다.

6.4 역방향 프록시 사용

역방향 프록시 서버(예: Nginx)를 사용하면 다음을 수행할 수 있습니다.Ollama 서비스의 프런트엔드 역할을 하며, Ollama 서비스의 실제 IP 주소와 포트를 숨기고 추가 보안 기능을 제공합니다.예를 들어

• 백엔드 서버를 숨깁니다: 역방향 프록시 서버는 올라마 서비스의 '외관' 역할을 하며, 외부 사용자는 역방향 프록시 서버의 IP 주소만 볼 수 있고 올라마 서비스가 위치한 실제 서버에는 직접 액세스할 수 없으므로 보안이 강화됩니다.
• 로드 밸런싱: 올라마 서비스가 여러 서버에 배포된 경우 역방향 프록시 서버는 로드 밸런싱을 구현하여 사용자 요청을 여러 서버로 분산하여 서비스 가용성과 성능을 개선할 수 있습니다.
• SSL/TLS 암호화: 역방향 프록시 서버는 SSL/TLS 인증서로 구성하여 HTTPS 암호화 액세스를 활성화하고 데이터 전송의 보안을 보호할 수 있습니다.
• 웹 애플리케이션 방화벽(WAF): 일부 역방향 프록시 서버는 WAF 기능을 통합하여 SQL 인젝션, 크로스 사이트 스크립팅 공격(XSS) 등과 같은 일반적인 웹 공격을 탐지하고 방어하여 Ollama 서비스의 보안을 더욱 강화합니다.
• 액세스 제어: 리버스 프록시 서버는 IP 주소, 사용자 ID, 요청 콘텐츠 등을 기반으로 한 액세스 제어 등 보다 유연한 액세스 제어 정책으로 구성할 수 있습니다.

7. 결론: 보안 인식과 책임감의 실천

올라마와 같이 로컬에 배포된 대형 모델 도구의 인기는 기술 혁신과 애플리케이션을 촉진했지만, 사이버 보안에 새로운 도전 과제를 제기하기도 했습니다. 인터넷에 "무료로 사용할 수 있다"고 노출된 Ollama 서비스는 매력적으로 보일 수 있지만 숨겨진 위험을 내포하고 있습니다. 이러한 행위는 법률 및 규정과 사이버 윤리를 위반할 뿐만 아니라 자신과 타인의 사이버 보안에 위협이 될 수 있습니다.

올라마 서비스 배포자에게 보안 인식을 높이고 필요한 보안 조치를 취하는 것은 자체 컴퓨팅 리소스와 데이터 보안을 보호하고 건강한 네트워크 환경을 유지하기 위한 책임입니다. 순간적인 부주의로 인해 서버를 '산술적 브로일러'로 만들거나 사이버 공격의 공범이 되어서는 안 됩니다.

기술의 혜택을 누리면서도 모든 인터넷 사용자는 항상 경각심을 갖고 네트워크 보안에 대한 올바른 관점을 확립하며 안전하고 신뢰할 수 있으며 지속 가능한 AI 애플리케이션 생태계를 구축하기 위해 함께 노력해야 합니다.

다시 한 번 위험 경고: 올라마 서비스를 즉시 점검하고 강화하세요! 안전은 작은 문제가 아닙니다!

딥시크 모델과 올라마 도구의 인기는 의심할 여지 없이 AI 기술의 발전을 잘 보여줍니다. 하지만 안전은 언제나 무시할 수 없는 기술 발전의 초석입니다. 올라마 사용자 여러분즉시 로컬 배포 구성을 검토하고 잠재적인 보안 위험을 평가하여 필요한 보안 강화 조치를 취하세요. 아직 고치기에 늦지 않았습니다.

아직 Ollama를 설치하지 않았거나 배포를 고려하고 계신 분들은 다음 사항도 꼭 확인하세요.빅 모델 도구를 로컬에 배포할 때 발생하는 보안 위험을 충분히 인지하고, 자체 기술 역량과 보안 보호 수준을 신중하게 평가하여 보안을 보장한다는 전제하에 적절하게 사용해야 합니다. 사이버 보안은 우리 모두의 책임이며, 사이버 보안이 발생하기 전에 예방하는 것이 최선의 전략이라는 점을 기억하세요.