인공지능(AI) 시스템 개발 속도를 높이는 기업이 증가함과 동시에 대규모 언어 운영과 신속한 데이터 대량 분석 시 필요한 컴퓨터 전력용 GPU에 더 의존하는 추세이다. 비디오 게임 처리와 AI 업계 사이에서 GPU 수요가 사상 최고치에 이를 정도로 증가했다. 이에, 칩 제조사는 서둘러 공급량을 늘리고 있다. 하지만 2024년 1월 16일(현지 시각), 애플, 퀄컴, AMD 칩을 비롯한 여러 브랜드 및 주류 GPU 모델의 취약점을 강조한 연구 논문 한 편이 발표됐다. 해당 논문이 지적한 취약점은 GPU 메모리에서 다량의 데이터를 탈취할 수 있다는 위험성을 경고한다.
실리콘 칩 제조 업계는 다년간 CPU 보안을 개선하여 속도를 최적화하도록 개발할 때도 메모리에 저장된 데이터가 유출되지 않도록 온 힘을 다했다. 그러나 GPU가 원본 그래픽 처리 전력으로 설계되어 CPU만큼 데이터 프라이버시를 우선순위로 둔 채로 구성되지 않았다. 생성형 AI와 머신러닝 애플리케이션이 칩 사용 범위를 확장하는 가운데, 뉴욕 보안 기업 트레일 오브 빗츠(Trail of Bits)는 GPU 취약점이 날이 갈수록 시급히 해결해야 할 우려 사항이 되는 추세라고 발표했다.
트레일 오브 빗츠 AI 및 머신러닝 보장 엔지니어링 책임자 헤이디 클라프(Heidy Khlaaf)는 “GPU가 기대만큼 보안 수준이 우수하지 않고, 데이터를 대거 유출할 수 있다는 광범위한 우려가 존재한다. 트레일 오브 빗츠는 어떤 기업의 제품이든 5MB~180MB에 이르는 데이터가 유출된 것을 확인했다. CPU 세계에서는 아주 적은 양의 데이터라도 즉시 유출된다”라고 설명했다.
연구팀이 리프트오버로컬(LeftoverLocals)이라고 칭한 GPU 취약점을 악용하려면, 공격자는 이미 공격 대상이 된 기기의 운영체제 시스템의 접근권을 어느 정도 확보해야 한다. 최신 컴퓨터와 서버는 데이터를 분리하도록 특수 설계가 되어 여러 사용자가 서로의 데이터에 접근하지 않더라도 같은 처리 자원을 공유하도록 한다. 그러나 리프트오버로컬 공격은 데이터 분리가 가능한 데이터 설계로 적용된 보호 조처를 무너뜨린다. 취약점 악용 시 공격자는 로컬 메모리에 접근할 수 없는 보안이 취약한 GPU에서 데이터를 제거한다. 이후 데이터에서 발생하는 일 무엇이든 악용하려 노출한다. 유출 데이터에는 답변을 제시하도록 보유한 다량의 데이터는 물론이고, 대규모 언어 모델이 생성한 질문과 답변도 포함될 수 있다.
트레일 오브 빗츠 연구팀은 개념 증명 과정에서 공격 대상으로 지정된 기기에서 오픈소스 대규모 언어 모델인 Llama.cpp에 와이어드 잡지의 상세 정보를 요청한 것을 공격 예시로 보여주었다. 요청 사항을 입력하고 몇 초가 지나자 공격자의 기기는 보안 취약점이 있는 GPU 메모리를 상대로 리프트오버로컬 공격을 개시하면서 Llama.cpp가 제공한 답변을 대부분 수집했다. 연구팀이 개념 증명 당시 사용한 공격 프로그램은 10줄 이하의 코드를 사용하여 완성됐다.
[사진=Unsplash]
2023년 여름, 연구팀은 GPU 제조사 7곳의 칩 11개와 여러 가지 상응하는 프로그램 프레임워크 보안 검사를 진행했다. 이후 연구팀은 애플, AMD, 퀄컴의 GPU에서 리프트오버로컬 취약점을 발견했다. 그리고 2023년 9월, 널리 영향을 미친 리프트오버로컬 취약점 협력을 시행했다. 협력 과정에는 미국 국토안보부 사이버보안정보보증 기관 산하 CERT 협력 센터와 3D 그래픽, 머신러닝, 가상현실(VR) 및 증강현실(AR)에 주력하는 표준 단체인 크로노스 그룹(Khronos Group)이 함께했다.
연구팀은 엔비디아나 인텔, Arm GPU에도 리프트오버로컬 취약점이 존재한다는 증거를 발견하지 못했다. 반면, 애플, AMD, 퀄컴 모두 와이어드의 문의에 리프트오버로컬의 영향을 받았다는 점을 확인시켜 주었다. 즉, AMD 라데온 RX 7900 XT(AMD Radeon RX 7900 XT)과 같이 인지도가 높은 칩과 애플 아이폰12 프로, M2 버전 맥북에어 등 다수 인기 기기의 보안이 취약하다는 의미이다. 연구팀은 보안 테스트용으로 사용한 이매지네이션 GPU(Imagination GPU)의 결함을 발견하지는 못했으나 다른 제품에는 보안 취약점이 존재할 가능성을 언급했다.
애플 대변인은 리프트오버로컬 취약점이 존재한다는 점을 인정하고, 2023년 말 공개된 자사의 최신 칩인 M3와 A17 프로세서를 탑재한 제품에 존재하는 결함을 수정한 채로 제품을 출하했다고 밝혔다. M3, A17 프로세서 이전 세대에 해당하는 애플 실리콘 칩을 탑재한 아이폰, 아이패드, 맥북 모델 수백만 대에는 여전히 리프트오버로컬 취약점이 존재할 수 있다는 의미이다. 2024년 1월 10일(현지 시각), 트레일 오브 빗츠 연구팀은 애플이 출시한 여러 기기에 리프트오버로컬 취약점이 존재한다는 사실을 발견했다. 특히, M2를 장착한 맥북에어는 여전히 취약한 상태임을 확인했다. 반면, A12 프로세서를 탑재한 아이패드 에어 3세대는 패치 배포가 된 상태이다.
퀄컴 대변인은 와이어드의 문의에 고객을 위한 보안 업데이트 제공 과정을 진행 중이라고 안내하며, “퀄컴은 최종 사용자가 기기 제조사를 통해 가능한 순간 즉시 보안 업데이트를 적용하기를 바란다”라고 덧붙였다. 트레일 오브 빗츠 연구팀은 퀄컴이 리프트오버로컬의 펌웨어 패치 배포를 진행한 사실을 확인했다.
2024년 1월 11일(현지 시각), AMD는 공식 웹사이트 내 보안 공고를 통해 리프트오버로컬 수정 계획을 상세히 공개했다. 보호 조처는 2023년 3월 자로 배포한 선택적 완화가 될 것이다.
구글은 “AMD, 애플, 퀄컴 등 다수 기업의 GPU에 영향을 미친 취약점을 인지하고 있다. 구글은 리프트오버 취약점의 영향을 받은 AMD, 퀄컴 GPU를 탑재한 크롬OS 기기에 수정 사항을 배포했다”라는 공식 성명을 발표하며, 자체 대응에 나섰다.
트레일 오브 빗츠 연구팀은 실제로 다양한 수정 사항 적용 범위가 널리 확산되는 것이 쉽지 않을 것이라는 점에 신중하게 주목한다. GPU 제조사가 활용 가능한 패치를 배포하더라도 패치 배포 기업의 GPU를 개인 컴퓨터 및 기타 기기에 통합한 기기 제조사가 GPU 제조사의 패치를 패키지로 제공하고는 최종 사용자 보호를 위한 연계 작업을 제공해야 한다. 전 세계 테크 생태계에 참여하는 기업이 너무 많다는 점에서 모든 관련 기업의 협력이 어려울 것으로 보인다.
취약점을 악용하려면, 어느 정도 피해자 기기 접근 권한이 이미 어느 정도 존재해야 한다는 조건이 있다. 하지만 사이버 공격 개시 동기가 강력한 공격자가 여러 가지 취약점을 함께 연결하여 공격을 개시하는 사례가 흔하다는 점을 고려하면, 잠재적 피해가 클 것이다. 게다가 기기 초기 접근 권한 확보는 이미 각종 디지털 공격자에게 공통으로 필요한 조건이다.
테일러 오브 비츠 창립자 겸 보안 연구 엔지니어이자 캘리포니아대학교 산타크루즈 캠퍼스 보안 엔지니어링 연구원인 타일러 소렌센(Tyler Sorensen)은 “같은 시스템에 접근한다면, 누군가가 대규모 언어 모델과 대화 도중 입력한 내용과 모델의 답변을 엿듣게 된다. 직접 보안 공격을 개시할 방법이다”라고 말했다.
트레일 오브 빗츠 연구팀은 다른 애플리케이션에서의 머신러닝 처리 과정 유출이 매우 민감할 수 있다는 점에 주목했다. 예를 들어, 모바일 의료 건강 앱을 AI 환자 지원 서비스와 통합한 상황을 생각해 보자. GPU가 어떤 작업이든 처리할 수 있으며, 메모리 데이터 보안은 처음부터 실리콘 칩에 설계되어야만 하는 기본 요소이다. 스펙터(Spectre), 멜트다운(Meltdown) 등 CPU 처리 과정의 취약점이 발견된 지 6년이 지난 현재까지 여러 칩 제조사가 메모리 보호 강화 및 개선 작업에 막대한 에너지를 쏟아부었다. 이 과정에서 기존 칩의 펌웨어 패치 작업은 물론이고, CPU 설게 방법이라는 물리적 개선 사항도 적용했다. 하드웨어 변경 사항을 구축하는 데 몇 년이 걸린다. 제조 라인이 발전 수준과는 거리가 먼 방향으로 계획되었기 때문이다.
AMD는 트레일 오브 빗츠 연구팀의 연구 논문 발표 후 “사용자가 악성 소프트웨어와 같은 로컬 기기를 실행한다면, 실행 도중 데이터 임시 저장 목적으로 사용하는 GPU 프로그램 스크래치패드 메모리의 최종 콘텐츠를 공격자가 볼 수 있을 것이다”라고 발표했다. AMD는 “시스템의 다른 부분은 노출된 부분이 전혀 없다는 점과 보안 공격이 발생한 사용자 데이터도 없다는 점을 확신한다”라고 정확히 밝혔다.
하지만 실질적으로 다년간 존재한 프로세서 메모리 취약점은 잠재적 위험성과 리프트오버로컬 취약점과 비슷한 각종 결함 해결의 중요성을 나타낸다. 클라프는 “트레일 오브 빗츠 연구팀은 데이터 유출이 발생한 부분이 패치 작업이 된 점을 확인했다. 웹 브라우저와 매우 민감한 데이터가 노출된 점도 확인했다”라며, 과거 발생한 칩의 메모리 관련 유출 사례를 언급했다.
지난 몇 달간 갈수록 인기와 중요도가 상승하는 프로세서 내 정보 유출 위험성을 부각한 GPU 보안 문제 관련 다른 연구 결과가 여럿 발표되었다. 지난 18개월간 생성형 AI가 호황을 이른 것처럼 많은 기업이 빠른 속도와 더 우수한 역량을 갖춘 GPU 구매 경쟁을 펼치기 시작했다. 물론, 일부 기업은 자체적으로 GPU 생산에 나섰다. 트레일 오브 빗츠 연구팀은 리프트오버로컬 취약점이 전반적으로 머신러닝 개발과 운영에 필요한 다수 구성요소가 알려지지 않은 보안 위험을 숨긴 상태이며, 보안 전문가가 철저히 검토하지 않았음을 부각한다는 사실을 지적했다.
연구팀은 리프트오버로컬 취약점 발견이 CPU에 적용한 것처럼 GPU 보안 강화 노력의 필요성 인식을 제기하는 중요한 순간의 일부분이라고 본다. 특히, 애플과 같이 ‘시스템 온 칩(SoC)’이라고 알려진 CPU와 GPU 통합을 바탕으로 한 효율성 최대화 노력을 펼치는 공급사를 대상으로 유독 강력한 압박을 가하는 문제라고 덧붙였다.
소렌센은 “GPU는 전체 메모리에 접근한다. 하지만 이번 연구를 통해 발견한 바와 같이 GPU 보안은 불안정하다. GPU 보안을 분리하기보다는 대부분 SoC로 통합하여 보안 작업을 진행했다. 따라서 GPU 보안을 철저하게 생각해야 한다. 특히, GPU가 CPU 메모리에도 접근할 수 있다는 점에서 GPU 보안을 간과할 수 없다”라고 설명했다.
연구팀은 GPU 메모리 보안 문제와 리프트오버로컬을 비롯한 여러 취약점이 더 큰 영향을 미칠 가능성을 우려한다. GPU 시각화 과정이 공공 클라우드 인프라에서 보편화된 데다가 로컬 단위로 구축하여 공용 클라우드 환경에서 운영하는 AI 애플리케이션이 증가하는 추세이기 때문이다. GPU 메모리 프라이버시를 대거 강화하지 않는다면, 클라우드 전환 과정에서 공격자가 단 한 차례 공격으로 수많은 표적의 데이터를 대거 탈취하기 쉬운 환경을 조성할 것이다.
소렌센은 “리프트오버로컬 취약점을 적합한 시점에 발견하여 다루었다고 생각한다. 상당수 주요 클라우드 서비스 공급사가 같은 GPU 기기에서 복수 사용자를 허용하지 않지만, 궁극적으로 보안을 개선하는 방향으로 변화를 불러올 수 있을 것이다. 따라서 리프트오버로컬 취약점을 극도로 경계하고, GPU 보안 모델과 배포 방식을 추가로 확보해야 한다고 본다. 또한, GPU 보안에 더 주의해야 한다는 인식을 심어주는 계기가 되기를 바란다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202401/5309_6891_5141.jpg)
뉴스레터 신청