Source: Dev.to

AI 모델에 대한 공급망 공격: 독성 LoRA 어댑터를 통한 백도어 삽입 방법

개요

최근 몇 년간 AI 모델이 점점 더 많은 산업 분야에 도입되면서, 이들 모델을 보호하기 위한 보안 문제가 급부상하고 있습니다. 특히 공급망 공격은 모델 자체뿐만 아니라 모델을 확장하거나 미세 조정하는 LoRA (Low‑Rank Adaptation) 어댑터와 같은 플러그인에도 영향을 미칠 수 있습니다. 이 글에서는 공격자가 어떻게 오염된 LoRA 어댑터를 배포해 백도어를 삽입하고, 이러한 위협을 탐지·방어하는 방법을 살펴봅니다.

1. LoRA 어댑터란?

• LoRA는 대규모 사전 학습 모델(예: GPT, LLaMA 등)의 파라미터를 직접 수정하지 않고, 저차원 행렬을 추가해 효율적인 파인튜닝을 가능하게 하는 기술입니다.
• 일반적으로 *.pt 혹은 *.safetensors 파일 형태로 배포되며, 오픈소스 레포지토리(GitHub, Hugging Face Hub 등)에서 쉽게 다운로드할 수 있습니다.
• 이러한 어댑터는 모델 가중치와 별도로 로드되므로, 원본 모델을 그대로 유지하면서도 특정 작업에 맞게 성능을 향상시킵니다.

2. 공급망 공격 시나리오

2.1 공격 흐름

1. 악성 어댑터 제작
   • 공격자는 정상적인 LoRA 어댑터를 베이스로, 특정 트리거(예: 특정 키워드, 프롬프트 패턴)를 입력했을 때 의도된 악의적 동작을 수행하도록 파라미터를 조작합니다.
2. 공급망 침투
   • 악성 어댑터를 공식 레포지토리 혹은 인기 있는 커뮤니티 포럼에 업로드합니다.
   • 메타데이터(버전, 저자, 설명)를 정상적인 어댑터와 거의 동일하게 꾸며 신뢰성을 가장합니다.
3. 배포 및 다운로드
   • 사용자는 pip install lora‑adapter‑xyz 혹은 git clone 명령어로 어댑터를 다운로드합니다.
   • 다운로드 과정에서 해시 검증이 제대로 이루어지지 않으면, 악성 파일이 그대로 설치됩니다.
4. 백도어 활성화
   • 모델에 어댑터를 로드하고 특정 트리거를 입력하면, 공격자는 데이터 유출, 명령 실행, 혹은 모델 출력 조작 등을 수행합니다.

2.2 실제 사례

3. 왜 LoRA 어댑터가 취약한가?

• 작은 파일 크기: 일반적인 모델 가중치(수 GB)와 달리 LoRA 어댑터는 수 MB 수준이므로, 검증 절차를 생략하거나 간소화하기 쉽습니다.
• 다양한 배포 채널: GitHub Release, Hugging Face Model Hub, 개인 블로그 등 여러 경로를 통해 배포되므로, 모든 경로를 일관되게 모니터링하기 어렵습니다.
• 신뢰 체인 부재: 대부분의 사용자는 어댑터의 디지털 서명이나 공개키 검증을 수행하지 않으며, “인기 있는 레포지토리”라는 이유만으로 신뢰합니다.

4. 방어 전략

4.1 공급망 무결성 검증

1. 해시 검증: 다운로드 시 SHA‑256 혹은 SHA‑512 해시값을 제공하고, 공식 문서와 비교합니다.
2. 디지털 서명: GPG/PGP 서명을 사용해 어댑터 제작자의 신원을 확인합니다.
3. 투명 로그: rekor와 같은 투명 로그 시스템에 어댑터 해시를 기록해 사후 검증을 가능하게 합니다.

4.2 런타임 감시

• 프롬프트 필터링: 백도어 트리거가 되는 특정 키워드나 패턴을 사전에 차단합니다.
• 출력 모니터링: 비정상적인 토큰 분포, 급격한 확률 변동 등을 실시간으로 감지하는 로깅 시스템을 구축합니다.
• 샌드박스 실행: 어댑터를 로드하기 전, 격리된 환경에서 테스트하고 의도치 않은 API 호출이 발생하는지 확인합니다.

4.3 커뮤니티 기반 방어

• 신뢰 점수: 어댑터 레포지토리의 스타 수, 포크 수, 이슈 해결 속도 등을 종합해 신뢰 점수를 매깁니다.
• 버그 바운티: 오픈소스 프로젝트에 보안 버그 바운티 프로그램을 도입해, 악성 어댑터가 발견될 경우 빠르게 대응합니다.
• 공동 검증: 여러 조직이 동일한 어댑터를 검증하고, 결과를 공유하는 공동 검증 체인을 구축합니다.

5. 결론

LoRA 어댑터는 대규모 모델을 손쉽게 맞춤화할 수 있는 강력한 도구이지만, 공급망 공격의 새로운 진입점이 될 수 있습니다.

• 무결성 검증과 런타임 감시를 결합한 다층 방어가 필수이며,
• 커뮤니티 협업을 통해 악성 어댑터를 조기에 탐지하고 차단하는 것이 장기적인 해결책이 될 것입니다.

AI 모델을 안전하게 활용하려면, 모델 자체뿐 아니라 **그 주변 생태계(어댑터, 플러그인, 데이터 파이프라인)**까지 포괄적인 보안 관점을 유지해야 합니다.

---

이 글은 사이버 보안 연구팀 ‘CyberPath’가 2024년 12월에 발표한 내용을 기반으로 작성되었습니다.

Source:

확장되는 공격 표면

AI 모델 공급망은 전통적인 소프트웨어 개발에 비해 독특하게 복잡한 공격 표면을 제공합니다. 잘 정의된 코드베이스와 의존성 트리를 가진 기존 애플리케이션과 달리, AI 모델은 종종 다양한 검증되지 않은 출처에서 가져온 여러 상호 연결된 구성 요소를 포함합니다.

오염된 학습 데이터셋

AI 모델의 기반은 학습 데이터에서 시작되므로 데이터셋은 공격자들의 주요 표적이 됩니다. 악의적인 행위자들은 점점 더 인기 있는 공개 데이터셋을 노려 미묘한 편향이나 백도어를 삽입하고, 이는 최종 모델에서 예상치 못한 행동으로 나타납니다. 이러한 독성 데이터셋은 이를 학습 소스로 사용하는 수천 개의 모델에 영향을 미쳐 광범위한 보안 문제를 초래합니다.

• 공격자는 악성 샘플이 정상 데이터와 완벽히 섞이도록 정교한 기법을 사용해 탐지를 매우 어렵게 만듭니다.
• 독성 샘플에는 특정 입력이 주어졌을 때 모델이 의도하지 않은 방식으로 동작하도록 하는 트리거 패턴이 포함될 수 있습니다.

악성 모델 체크포인트

학습 과정 중 모델은 다양한 체크포인트에서 저장되며, 이는 공격자가 악성 코드나 백도어를 삽입할 수 있는 기회를 제공합니다. 손상된 체크포인트는 정식 채널을 통해 배포될 수 있어 신뢰할 수 있는 출처의 공식 릴리스처럼 보일 수 있습니다.

독성 파인‑튜닝 어댑터

Low‑Rank Adaptation (LoRA) 및 Quantized Low‑Rank Adaptation (QLoRA) 어댑터는 전체 재학습 없이 대형 언어 모델을 맞춤화하는 데 널리 사용됩니다. 그러나 이러한 어댑터는 로드될 때 기본 모델과 함께 실행되는 숨겨진 악성 코드를 포함할 수 있어 중요한 보안 위험을 내포하고 있습니다.

Cloud‑Borne Attacks

• AI 모델 호스팅 및 서빙에 사용되는 클라우드 인프라를 목표로 합니다.
• 공격자는 모델 가중치나 서빙 인프라를 호스팅하는 클라우드 인스턴스를 장악하여 정품 모델을 중독된 버전으로 교체합니다.
• 이러한 공격은 원본 개발 파이프라인에 아무런 변경이 없더라도 프로덕션 모델에 영향을 미칠 수 있어 특히 위험합니다.

Sock‑Puppet Developer Attacks

• 공격자는 가짜 개발자 페르소나를 만들어 장기간에 걸쳐 오픈소스 AI 프로젝트에 신뢰받는 코드를 기여합니다.
• 이러한 악의적인 개발자는 커뮤니티 내에서 신뢰를 쌓은 뒤 널리 사용되는 AI 프레임워크와 라이브러리에 미묘한 백도어나 취약점을 삽입합니다.

Sock‑puppet 접근 방식은 오픈소스 개발의 신뢰 기반 특성을 활용합니다. 공격자는 정당한 코드를 몇 개월, 심지어 몇 년 동안 기여하면서 커밋 권한과 커뮤니티 신뢰를 얻은 뒤, 종종 철저한 검토 없이 받아들여지는 악성 변경을 도입합니다.

Source: https://attack.mitre.org/techniques/T1566/?utm_source=dev.to&utm_medium=devto&utm_campaign=Supply+Chain+Attacks+on+AI+Models%3A+How+Attackers+Inject+Backdoors+Through+Poisoned+LoRA+Adapters+and+Compromised+Model+Weights&utm_content=social+engineering

Why Traditional Supply‑Chain Security Fails for AI

Traditional supply‑chain security measures prove inadequate for protecting AI models due to several fundamental differences between AI and conventional software:

Opaque Black‑Box Models

• Unlike traditional software where source code can be reviewed for malicious content, AI models are essentially black boxes.
• Even with access to model weights, it is extremely difficult to determine how the model will behave in all possible scenarios.
• This opacity makes it nearly impossible to verify that a model behaves as intended without comprehensive testing.

Weak Provenance Tracking

• AI development lacks the sophisticated provenance‑tracking systems found in traditional software development.
• Organizations often struggle to maintain complete records of where their training data originated, which models were used as bases for fine‑tuning, or how adapters were developed.

Unverified Third‑Party Hosting

• The AI ecosystem relies heavily on third‑party model‑hosting platforms like Hugging Face, where models and adapters can be uploaded by anyone.
• While these platforms have implemented some verification measures, they remain largely unregulated, creating opportunities for malicious actors to distribute compromised models.

특정 공격 시나리오

LoRA 어댑터 손상

조직이 대형 언어 모델에 대한 합법적인 온‑디바이스 추론을 가능하게 하는 LoRA 어댑터를 다운로드하는 상황을 가정해 보십시오. 어댑터는 정상적으로 작동하는 것처럼 보이며, 모델을 엣지 배포에 최적화합니다. 그러나 어댑터 내부에 특정 입력이 감지될 때 모델이 안전 가이드라인을 무시하도록 하는 트리거 패턴이 숨겨져 있습니다. 정상적인 운영 중에도 손상된 어댑터는 데이터를 은밀히 유출하거나, 허용되지 않은 콘텐츠를 생성하거나, 시스템의 의도된 동작을 다른 방식으로 전복시킬 수 있습니다.

(이 기사에서는 추가 시나리오와 완화 전략을 계속해서 다룹니다.)

손상된 클라우드 인프라스트럭처

또 다른 흔한 시나리오는 공격자가 모델‑서빙 인프라를 호스팅하는 클라우드 인스턴스를 장악하는 경우입니다. 공격자는 모델 자체를 공격하기보다는 요청과 응답을 가로채어 출력물을 수정하거나 민감한 데이터를 추출할 수 있습니다. 이러한 공격은 모델 자체는 손상되지 않기 때문에 탐지하기 특히 어렵습니다.

AI‑생성 개발자 페르소나

정교한 소크‑퍼펫 공격에서, 공격자는 AI를 사용해 현실적인 개발자 프로필을 생성합니다. 여기에는 GitHub 이력, 다른 프로젝트에 대한 기여, 심지어 소셜 미디어 존재까지 포함됩니다. 이러한 AI‑생성 페르소나는 수개월 동안 오픈‑소스 AI 프로젝트에 기여하며 신뢰를 쌓은 뒤, 널리 배포된 모델에 백도어를 만들 수 있는 미묘한 취약점을 도입합니다.

실제 사건: 현장에서 얻은 교훈

최근 사건들은 AI 공급망 공격이 실제로 미치는 영향을 강조합니다:

Wondershare RepairIt 자격 증명 노출

Wondershare RepairIt 사건은 AI 기반 도구에 하드코딩된 자격 증명이 민감한 인프라를 어떻게 노출시킬 수 있는지를 보여주었습니다. 공격자는 노출된 API 키를 이용해 모델 학습 인프라에 접근했으며, 이로 인해 데이터셋과 모델이 악성 샘플로 오염될 가능성이 있었습니다.

악성 PyPI 패키지

AI 라이브러리를 표적으로 하는 여러 악성 패키지가 PyPI에 등장했으며, 정상적인 의존성으로 위장되었습니다. 이러한 패키지는 모델 동작을 변경하거나 학습·추론 중에 민감한 데이터를 탈취하는 코드를 포함하고 있습니다.

타이포스쿼팅 캠페인

공격자는 AI 라이브러리 이름을 표적으로 하는 정교한 타이포스쿼팅 캠페인을 전개하여, 인기 프레임워크와 유사한 이름의 패키지를 만들었습니다. 개발자가 실수로 이러한 악성 패키지를 설치하면 전체 AI 개발 파이프라인이 손상될 수 있습니다.

방어 전략: AI 공급망 보호

조직은 AI 공급망 공격으로부터 보호하기 위해 포괄적인 방어 전략을 구현해야 합니다.

암호화 모델 서명

모든 AI 모델 및 어댑터에 대해 암호화 서명을 적용하여 무결성과 진위성을 보장합니다. 전통적인 소프트웨어에서 코드 서명이 하는 것처럼, AI 구성 요소를 배포하기 전에 서명을 검증합니다.

AI/ML 부품 명세서 (AIBOM)

AI 시스템에 대한 포괄적인 부품 명세서를 작성하여 전체 AI 공급망을 파악합니다. AIBOM에는 학습 데이터셋, 기본 모델, 파인‑튜닝 어댑터, 종속성 및 호스팅 인프라에 대한 정보가 포함되어야 합니다.

행동 기반 출처 분석

커밋 패턴과 기여자 행동을 모니터링하면 소크‑퍼핏 공격을 식별하는 데 도움이 됩니다. 기여 패턴의 급격한 변화, 비정상적인 협업 요청, 혹은 급속한 권한 상승 시도는 악의적인 활동을 나타낼 수 있습니다.

제로‑트러스트 런타임 방어

AI 모델 실행에 제로‑트러스트 원칙을 적용하여 모델 동작을 지속적으로 모니터링하고, 입력·출력을 검증하며, 모델 기능을 의도된 용도에 필요한 것만으로 제한합니다.

인간 검증 요구사항

중요한 AI 구성 요소는 배포 전에 인간 검증이 필요합니다. 여기에는 모델 동작에 대한 수동 검토, 학습 데이터 출처 검증, 어댑터 기능 확인이 포함됩니다.

탐지 및 모니터링 솔루션

현대 보안 플랫폼(예: SentinelOne)은 AI‑특화 공급망 모니터링 기능을 도입하고 있습니다. 이러한 플랫폼은 모델 동작의 이상 패턴을 감지하고, 잠재적으로 악의적인 어댑터를 식별하며, 공급망 침해 징후를 모니터링할 수 있습니다.

행동 분석

고급 행동 분석 도구는 AI 모델이 예상치 못한 네트워크 연결, 비정형 데이터 접근 패턴, 혹은 기대 출력 분포와의 편차와 같은 이상 행동을 보일 때 이를 식별합니다.

공급망 가시성

포괄적인 공급망 가시성 도구는 조직이 전체 AI 인프라를 매핑하고, 모든 종속성과 잠재적 침해 지점을 파악하도록 돕습니다. 이러한 가시성은 신속한 사고 대응 및 복구에 필수적입니다.

앞으로의 길

AI 공급망 공격의 급증은 사이버 보안에 근본적인 변화를 나타내며, 새로운 접근 방식과 도구가 필요합니다.