.gif)
3줄 요약
1. 머신러닝 협업 플랫폼 허깅페이스에 악성 모델 등장.
2. 피클이라는 파일 공유 포맷이 가진 근본 취약점 다시 드러남.
3. 피클은 위험하기 때문에 대체제나 보완 방법 필요.
[보안뉴스 문가용 기자] 머신러닝 개발자를 위한 모델 공유 플랫폼 허깅페이스(Hugging Face)에서 악성 코드가 유포되고 있었다. 피클(pickle)이라고 하는 파일의 직렬화 특성을 악용하여 악성 코드를 퍼트리는 전략도 같이 발견됐는데, 보안 전문가들이 이를 추적하다가 허깅페이스에서 제공하는 기본 보안 도구의 약점까지 발견할 수 있었다.
[자료: gettyimagesbank.co.kr]
피클?
보안 업체 리버싱랩스(ReversingLabs)의 설명에 따르면 피클은 머신러닝 모델을 공유할 때 사용되는 파일 포맷이라고 한다. “하지만 공유만을 목적으로 고안된 포맷이라 취약점이 있습니다. 객체 직렬화 및 역직렬화 과정에서 파이선 코드를 실행할 수 있다는 것이죠. 때문에 피클은 보안상 안전하지 않은 데이터 형식으로 간주됩니다.”
피클이 보안상 완전하지 않다는 건 이미 널리 알려진 사실이다. 공유를 위해 만들어진 허깅페이스 같은 플랫폼에서조차 “신뢰할 수 있는 곳에서만 피클을 가져다 쓰라”고 권고하고 있을 정도다. 하지만 이 권고는 잘 지켜지지 않는 게 현실이다. “보안성보다는 생산성과 편리성이 우선시 되는 게 사실이죠.”
최근 악성 코드 유포 캠페인
리버싱랩스에서 발견한 건 악성 코드를 포함하고 있는 두 개의 머신러닝 모델이었다. 허깅페이스의 기본 보안 도구인 피클스캔(Picklescan)은 걸러내지 못하고 있었다. “피클스캔은 원래부터 약한 보안 도구였습니다. 블랙리스트 기반이라 미리 정의된 악성 요소는 탐지하지 못했습니다.”
참고로 발견된 악성 코드 모두 특정 IP 주소로 연결되는 기능을 가지고 있었던 게 전부였다. 연결된 후 공격자가 무엇을 하려 했는지는 아직 알려지지 않고 있다. 그 궁극적 목적을 알 수 없으니 피해 상황도 집계가 불가능하다.
피클스캔의 실패 이유를 분석했을 때 리버싱랩스는 위의 ‘블랙리스트 기반’이라는 것 외에 한 가지 이유를 더 찾아낼 수 있었다. “악성 요소를 포함한 파일이 손상되어 있다면 피클스캔은 이를 잡아내지 못하는 특성을 가지고 있었습니다. 파일 손상 검사를 먼저 통과한 경우에만 악성 코드 탐지를 시작했거든요. 파일이 손상되면 악성 코드 탐지는 하지 않았습니다.”
검사 도구와 검사 파일의 근본 차이
리버싱랩스는 조사를 이어가면서 더 깊은 문제에 도달할 수 있었다. 피클스캔과 피클 파일의 특성이 정반대의 양상을 띠고 있었다는 것이다. “피클스캔은 전체를 먼저 검사해 손상 여부를 파악한 뒤에 세부 검사에 들어갑니다. 피클은 파일 내에 정의된 연산들을 순서대로 실행하다가, 손상된 부분을 맞닥트려야 멈춥니다. 공격자들이 악성 코드를 제일 앞부분에 삽입하여 파일을 손상시킨다면 어떻게 될까요? 피클스캔이 찾아내지 못하고 악성 연산이 실행됩니다.”
여기까지 확인한 리버싱랩스는 악성 피클 파일이 탑재된 모델 두 개를 허깅페이스 측에 신고했다. 동시에 파일스캔에서 발견된 약점들까지도 같이 알렸다. 허깅페이스 측에서도 신속하게 대응했으며, 제보 받은 지 하루 안에 악성 모델을 찾아 삭제했다. 피클스캔도 개선시켜 손상된 피클 파일도 검사하여 위험 요소를 파악할 수 있도록 해두었다. 그러나 피클이 태생적으로 위험하다는 문제는 남아있다.
그래서?
리버싱랩스의 결론은 명확하다. “피클 파일은 위험하다”가 바로 그것이다. “피클은 공유만을 염두에 두고 만들어진 파일 포맷입니다. 피클을 보편화시킨다는 건 위험 역시 보편화시키는 것과 마찬가지입니다. 기본적으로 ‘제로트러스트’라는 개념 아래 피클을 교환하는 문화를 정착시키는 게 필요합니다. 피클과 인공지능 개발 환경을 보호할 수 있는 여러 보안 솔루션을 도입하는 것도 좋은 방법입니다.”
문제의 악성 요소들부터 시작해 피클스캔이 가진 태생적 문제를 추적하는 세부 과정, 허깅페이스의 남은 고민은 2월 13일에 발행되는 프리미엄 리포트를 통해 열람 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 머신러닝 협업 플랫폼 허깅페이스에 악성 모델 등장.
2. 피클이라는 파일 공유 포맷이 가진 근본 취약점 다시 드러남.
3. 피클은 위험하기 때문에 대체제나 보완 방법 필요.
[보안뉴스 문가용 기자] 머신러닝 개발자를 위한 모델 공유 플랫폼 허깅페이스(Hugging Face)에서 악성 코드가 유포되고 있었다. 피클(pickle)이라고 하는 파일의 직렬화 특성을 악용하여 악성 코드를 퍼트리는 전략도 같이 발견됐는데, 보안 전문가들이 이를 추적하다가 허깅페이스에서 제공하는 기본 보안 도구의 약점까지 발견할 수 있었다.
[자료: gettyimagesbank.co.kr]
피클?
보안 업체 리버싱랩스(ReversingLabs)의 설명에 따르면 피클은 머신러닝 모델을 공유할 때 사용되는 파일 포맷이라고 한다. “하지만 공유만을 목적으로 고안된 포맷이라 취약점이 있습니다. 객체 직렬화 및 역직렬화 과정에서 파이선 코드를 실행할 수 있다는 것이죠. 때문에 피클은 보안상 안전하지 않은 데이터 형식으로 간주됩니다.”
피클이 보안상 완전하지 않다는 건 이미 널리 알려진 사실이다. 공유를 위해 만들어진 허깅페이스 같은 플랫폼에서조차 “신뢰할 수 있는 곳에서만 피클을 가져다 쓰라”고 권고하고 있을 정도다. 하지만 이 권고는 잘 지켜지지 않는 게 현실이다. “보안성보다는 생산성과 편리성이 우선시 되는 게 사실이죠.”
최근 악성 코드 유포 캠페인
리버싱랩스에서 발견한 건 악성 코드를 포함하고 있는 두 개의 머신러닝 모델이었다. 허깅페이스의 기본 보안 도구인 피클스캔(Picklescan)은 걸러내지 못하고 있었다. “피클스캔은 원래부터 약한 보안 도구였습니다. 블랙리스트 기반이라 미리 정의된 악성 요소는 탐지하지 못했습니다.”
참고로 발견된 악성 코드 모두 특정 IP 주소로 연결되는 기능을 가지고 있었던 게 전부였다. 연결된 후 공격자가 무엇을 하려 했는지는 아직 알려지지 않고 있다. 그 궁극적 목적을 알 수 없으니 피해 상황도 집계가 불가능하다.
피클스캔의 실패 이유를 분석했을 때 리버싱랩스는 위의 ‘블랙리스트 기반’이라는 것 외에 한 가지 이유를 더 찾아낼 수 있었다. “악성 요소를 포함한 파일이 손상되어 있다면 피클스캔은 이를 잡아내지 못하는 특성을 가지고 있었습니다. 파일 손상 검사를 먼저 통과한 경우에만 악성 코드 탐지를 시작했거든요. 파일이 손상되면 악성 코드 탐지는 하지 않았습니다.”
검사 도구와 검사 파일의 근본 차이
리버싱랩스는 조사를 이어가면서 더 깊은 문제에 도달할 수 있었다. 피클스캔과 피클 파일의 특성이 정반대의 양상을 띠고 있었다는 것이다. “피클스캔은 전체를 먼저 검사해 손상 여부를 파악한 뒤에 세부 검사에 들어갑니다. 피클은 파일 내에 정의된 연산들을 순서대로 실행하다가, 손상된 부분을 맞닥트려야 멈춥니다. 공격자들이 악성 코드를 제일 앞부분에 삽입하여 파일을 손상시킨다면 어떻게 될까요? 피클스캔이 찾아내지 못하고 악성 연산이 실행됩니다.”
여기까지 확인한 리버싱랩스는 악성 피클 파일이 탑재된 모델 두 개를 허깅페이스 측에 신고했다. 동시에 파일스캔에서 발견된 약점들까지도 같이 알렸다. 허깅페이스 측에서도 신속하게 대응했으며, 제보 받은 지 하루 안에 악성 모델을 찾아 삭제했다. 피클스캔도 개선시켜 손상된 피클 파일도 검사하여 위험 요소를 파악할 수 있도록 해두었다. 그러나 피클이 태생적으로 위험하다는 문제는 남아있다.
그래서?
리버싱랩스의 결론은 명확하다. “피클 파일은 위험하다”가 바로 그것이다. “피클은 공유만을 염두에 두고 만들어진 파일 포맷입니다. 피클을 보편화시킨다는 건 위험 역시 보편화시키는 것과 마찬가지입니다. 기본적으로 ‘제로트러스트’라는 개념 아래 피클을 교환하는 문화를 정착시키는 게 필요합니다. 피클과 인공지능 개발 환경을 보호할 수 있는 여러 보안 솔루션을 도입하는 것도 좋은 방법입니다.”
문제의 악성 요소들부터 시작해 피클스캔이 가진 태생적 문제를 추적하는 세부 과정, 허깅페이스의 남은 고민은 2월 13일에 발행되는 프리미엄 리포트를 통해 열람 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
