허깅페이스가 인공지능 개발자들 사이에서 점점 높은 인기를 구가하고 있는데, 그에 따라 각종 취약점 연구도 활발해지고 있다. 허깅페이스를 사용하는 기업들을 위험에 처하게 할 만한 취약점이 최근 발견됐다.
[보안뉴스 문가용 기자] 인공지능 플랫폼인 허깅페이스(Hugging Face)에서 두 개의 초고위험도 취약점이 발견됐다. 이를 통해 데이터 침해나 인공지능 모델의 감염이 가능하다고 한다. 허깅페이스 사용자들의 주의가 요구된다.
[이미지 = gettyimagesbank]
한 취약점의 경우 공격자들이 익스플로잇에 성공할 경우 다른 허깅페이스 사용자들의 머신러닝 모델들에 접근할 수 있게 된다. 다른 한 취약점은 공유된 컨테이너 레지스트리에 있는 이미지들을 덮어쓰기 할 수 있게 해 준다. 둘 다 보안 업체 위즈(Wiz)에서 발견한 것으로, 허깅페이스의 추론 인프라에 영향을 주는 것으로 분석됐다.
위 취약점들은 정확히 다음 세 개 영역에 영향을 준다.
1) 허깅페이스의 추론 API : 사용자들은 이것을 통해 플랫폼 내 공개된 모델들을 검색하고 활용할 수 있게 된다.
2) 허깅페이스의 추론 엔드포인트 : 인공지능 모델들을 제품이나 서비스 안에 구축할 때 활용된다.
3) 허깅페이스 스페이스(Hugging Face Spaces) : 인공지능 및 머신러닝 애플리케이션을 노출시키고 협업하기 위한 호스팅 서비스
피클을 잘 사용하면
위즈의 취약점 분석가들은 자신들이 발견한 취약점들을 어떻게 해야 실질적인 공격에 활용할 수 있을지를 계속해서 연구했다. 그러다가 누구나 인공지능 및 머신러닝 모델을 허깅페이스 플랫폼에 쉽게 업로드 할 수 있다는 것에 착안했다. 피클(Pickle) 포맷을 기반으로 한 모델들도 포함하는 얘기였다. 피클은 파이선 객체들을 파일 안에 저장할 때 사용되는 모듈로 인기가 높았다. 파이선 재단 측은 피클이 그리 안전하지는 않다고 경고하고 있지만 사용하기가 간편해 오히려 사용자들이 늘어나는 추세다.
“파이토치(PyTorch) 모델, 즉 피클을 조작해 임의의 코드가 실행되도록 만든다면 허깅페이스 플랫폼에 악성 코드를 올릴 수 있게 되는 것과 다름이 없었습니다.” 위즈의 설명이다. “그리고 피클을 그런 식으로 조작하는 건 매우 간단한 일입니다.”
위즈는 실험을 통해 자신들이 직접 손 본 피클 기반 모델을 허깅페이스에 업로드 했고, 이를 다운로드 받아 실행시킬 경우 리버스셸이 실행되도록 하는 데 성공했다고 한다. 그런 후 추론 API(Inference API)를 활용해 피클 기반 모델과 교신을 해 일종의 셸처럼 작동시킬 수도 있었다. 셸처럼 작동시켰다는 건 허깅페이스 인프라에 마련된 피해자의 환경을 마음껏 탐색할 수 있었다는 뜻이다.
이 실험을 위해 동원된 ‘가상의 피해자’는 아마존 엘라스틱 큐버네티스 서비스(EKS) 상의 클러스터와도 연결이 되어 있었다. 큐버네티스 환경에서 흔히 나타나는 설정 오류를 찾아 익스플로잇 했을 때 연구원들은 기밀을 빼돌릴 수 있었다. 설정과 관련된 민감한 정보들도 훔쳐냈고, 그 정보를 통해 같은 인프라를 공유하고 있는 다른 테넌트에도 접근할 수 있었다.
허깅페이스의 스페이스는 애플리케이션 빌드 타임 동안 임의 코드 실행에 활용할 수 있었다. 이를 통해 공격자는 네트워크 연결 상황을 파악할 수 있으며, 거기서부터 추가 공격을 이어갈 수 있다고 위즈는 설명했다. “내부 컨테이너 레지스트리에 뭔가를 작성할 수 있는 권한을 가져갈 수 있게 됩니다. 이를 악용하면 시스템 무결성에 심각한 손상을 입힐 수 있고 공급망 공격도 가능하게 됩니다.”
허깅페이스 측은 위즈로부터 이러한 문제가 있음을 제보 받았고, 공격 가능성을 전부 완화시켰다고 발표했다. 하지만 문제의 근원일 수 있는 피클 포맷을 계속 허용할 거라고 한다. “이번에 위즈 측에서 제기한 문제들은 거의 대부분 피클 파일 포맷과 관련이 있었습니다. 물론 피클과 관련된 위험 가능성을 충분히 인지하고 있습니다만, 인공지능 개발자들이 사용하는 도구에 제한을 두고 싶지 않았습니다. 그래서 저희 편의 보안 부담과 엔지니어링 부담이 크긴 하지만 계속해서 피클 파일을 허용하려 합니다.”
인프라 공유의 기본적인 문제
위즈는 “호스팅 인프라를 공유했을 때 자원이나 정보가 유출될 위험이 존재한다는 걸 모든 기업이 알아야 한다”고 강조한다. “새로운 인공지능 모델들과 인공지능 애플리케이션들을 개발하고 실행하고 호스팅하는 플랫폼도 마찬가지입니다. 인프라를 여러 사람이 공유할 수 있다는 건, 그 인프라에 있는 나의 정보와 자산들이 유출될 가능성이 있다는 걸 뜻합니다. 최근 인공지능이라는 기술을 공유 플랫폼으로 배포하는 서비스가 유행하기 시작했는데, 사용자들은 경계심을 늦추면 안 됩니다.”
그래서 위즈는 각 기업들이 어떤 플랫폼을 사용하든 스스로의 인공지능 스택 전체에 대한 가시성을 항상 유지하는 게 중요하다고 지적한다. “악성 모델이 어디선가 작동하고 있지는 않은지, 훈련 데이터가 무사히 보관되어 있는지, 인공지능 관련 개발 키트에서 취약점이 발견되지는 않았는지 등을 끊임없이 살펴야 합니다.”
3줄 요약
1. 인공지능 모델 공유 플랫폼인 허깅페이스에서 취약점 발견됨.
2. 피클이라는 파이선 생태계의 파일 포맷과 관련이 있음.
3. 인공지능이든 뭐든, 인프라가 공유된다는 건 리스크가 있다는 뜻.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 인공지능 플랫폼인 허깅페이스(Hugging Face)에서 두 개의 초고위험도 취약점이 발견됐다. 이를 통해 데이터 침해나 인공지능 모델의 감염이 가능하다고 한다. 허깅페이스 사용자들의 주의가 요구된다.
[이미지 = gettyimagesbank]
한 취약점의 경우 공격자들이 익스플로잇에 성공할 경우 다른 허깅페이스 사용자들의 머신러닝 모델들에 접근할 수 있게 된다. 다른 한 취약점은 공유된 컨테이너 레지스트리에 있는 이미지들을 덮어쓰기 할 수 있게 해 준다. 둘 다 보안 업체 위즈(Wiz)에서 발견한 것으로, 허깅페이스의 추론 인프라에 영향을 주는 것으로 분석됐다.
위 취약점들은 정확히 다음 세 개 영역에 영향을 준다.
1) 허깅페이스의 추론 API : 사용자들은 이것을 통해 플랫폼 내 공개된 모델들을 검색하고 활용할 수 있게 된다.
2) 허깅페이스의 추론 엔드포인트 : 인공지능 모델들을 제품이나 서비스 안에 구축할 때 활용된다.
3) 허깅페이스 스페이스(Hugging Face Spaces) : 인공지능 및 머신러닝 애플리케이션을 노출시키고 협업하기 위한 호스팅 서비스
피클을 잘 사용하면
위즈의 취약점 분석가들은 자신들이 발견한 취약점들을 어떻게 해야 실질적인 공격에 활용할 수 있을지를 계속해서 연구했다. 그러다가 누구나 인공지능 및 머신러닝 모델을 허깅페이스 플랫폼에 쉽게 업로드 할 수 있다는 것에 착안했다. 피클(Pickle) 포맷을 기반으로 한 모델들도 포함하는 얘기였다. 피클은 파이선 객체들을 파일 안에 저장할 때 사용되는 모듈로 인기가 높았다. 파이선 재단 측은 피클이 그리 안전하지는 않다고 경고하고 있지만 사용하기가 간편해 오히려 사용자들이 늘어나는 추세다.
“파이토치(PyTorch) 모델, 즉 피클을 조작해 임의의 코드가 실행되도록 만든다면 허깅페이스 플랫폼에 악성 코드를 올릴 수 있게 되는 것과 다름이 없었습니다.” 위즈의 설명이다. “그리고 피클을 그런 식으로 조작하는 건 매우 간단한 일입니다.”
위즈는 실험을 통해 자신들이 직접 손 본 피클 기반 모델을 허깅페이스에 업로드 했고, 이를 다운로드 받아 실행시킬 경우 리버스셸이 실행되도록 하는 데 성공했다고 한다. 그런 후 추론 API(Inference API)를 활용해 피클 기반 모델과 교신을 해 일종의 셸처럼 작동시킬 수도 있었다. 셸처럼 작동시켰다는 건 허깅페이스 인프라에 마련된 피해자의 환경을 마음껏 탐색할 수 있었다는 뜻이다.
이 실험을 위해 동원된 ‘가상의 피해자’는 아마존 엘라스틱 큐버네티스 서비스(EKS) 상의 클러스터와도 연결이 되어 있었다. 큐버네티스 환경에서 흔히 나타나는 설정 오류를 찾아 익스플로잇 했을 때 연구원들은 기밀을 빼돌릴 수 있었다. 설정과 관련된 민감한 정보들도 훔쳐냈고, 그 정보를 통해 같은 인프라를 공유하고 있는 다른 테넌트에도 접근할 수 있었다.
허깅페이스의 스페이스는 애플리케이션 빌드 타임 동안 임의 코드 실행에 활용할 수 있었다. 이를 통해 공격자는 네트워크 연결 상황을 파악할 수 있으며, 거기서부터 추가 공격을 이어갈 수 있다고 위즈는 설명했다. “내부 컨테이너 레지스트리에 뭔가를 작성할 수 있는 권한을 가져갈 수 있게 됩니다. 이를 악용하면 시스템 무결성에 심각한 손상을 입힐 수 있고 공급망 공격도 가능하게 됩니다.”
허깅페이스 측은 위즈로부터 이러한 문제가 있음을 제보 받았고, 공격 가능성을 전부 완화시켰다고 발표했다. 하지만 문제의 근원일 수 있는 피클 포맷을 계속 허용할 거라고 한다. “이번에 위즈 측에서 제기한 문제들은 거의 대부분 피클 파일 포맷과 관련이 있었습니다. 물론 피클과 관련된 위험 가능성을 충분히 인지하고 있습니다만, 인공지능 개발자들이 사용하는 도구에 제한을 두고 싶지 않았습니다. 그래서 저희 편의 보안 부담과 엔지니어링 부담이 크긴 하지만 계속해서 피클 파일을 허용하려 합니다.”
인프라 공유의 기본적인 문제
위즈는 “호스팅 인프라를 공유했을 때 자원이나 정보가 유출될 위험이 존재한다는 걸 모든 기업이 알아야 한다”고 강조한다. “새로운 인공지능 모델들과 인공지능 애플리케이션들을 개발하고 실행하고 호스팅하는 플랫폼도 마찬가지입니다. 인프라를 여러 사람이 공유할 수 있다는 건, 그 인프라에 있는 나의 정보와 자산들이 유출될 가능성이 있다는 걸 뜻합니다. 최근 인공지능이라는 기술을 공유 플랫폼으로 배포하는 서비스가 유행하기 시작했는데, 사용자들은 경계심을 늦추면 안 됩니다.”
그래서 위즈는 각 기업들이 어떤 플랫폼을 사용하든 스스로의 인공지능 스택 전체에 대한 가시성을 항상 유지하는 게 중요하다고 지적한다. “악성 모델이 어디선가 작동하고 있지는 않은지, 훈련 데이터가 무사히 보관되어 있는지, 인공지능 관련 개발 키트에서 취약점이 발견되지는 않았는지 등을 끊임없이 살펴야 합니다.”
3줄 요약
1. 인공지능 모델 공유 플랫폼인 허깅페이스에서 취약점 발견됨.
2. 피클이라는 파이선 생태계의 파일 포맷과 관련이 있음.
3. 인공지능이든 뭐든, 인프라가 공유된다는 건 리스크가 있다는 뜻.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
