AI 시스템은 오랫동안 봉인된 블랙박스처럼 취급되어 왔으며, 특히 안면 인식 및 자율 주행과 같은 분야에서는 더욱 그렇습니다. 새로운 연구에 따르면 보호 기능은 예상한 것만큼 견고하지 않습니다.
KAIST가 이끄는 팀은 직접적인 침입 없이 정상 작동 중에 누출되는 방출을 사용하여 AI 시스템을 원격으로 역엔지니어링할 수 있음을 보여줍니다. 대신, 접근 방식은 귀를 기울입니다.
연구원들은 소형 안테나를 사용하여 GPU에서 희미한 전자기 흔적을 포착하고 시스템 설계 방식을 재구성했습니다. 마치 강도처럼 들리지만 결과는 그대로 유지되고 보안에 미치는 영향은 즉각적입니다.
사이드 채널 작동 방식
ModelSpy라는 시스템은 GPU가 AI 작업 부하를 처리하는 동안 생성된 전자기 출력을 수집합니다. 이러한 추적은 미묘하지만 아키텍처 배열 방식과 관련된 패턴을 따릅니다.

이러한 패턴을 분석하여 팀은 레이어 설정 및 매개변수 선택을 포함한 주요 세부 정보를 추론했습니다. 테스트 결과 핵심 구조는 최대 97.6%의 정확도로 식별될 수 있는 것으로 나타났습니다.
설정이 이것을 불안하게 만드는 것입니다. 안테나는 가방 안에 들어가므로 물리적으로 접근할 필요가 없습니다. 여러 GPU 유형에 걸쳐 벽을 통과하여 최대 6미터 떨어진 곳에서도 작동했습니다. 계산 자체가 사이드 채널이 되어 전통적인 위반 없이 시스템 설계를 노출합니다.
이것이 AI 보안을 변화시키는 이유
이는 AI 보안을 덜 친숙한 영역으로 밀어 넣습니다. 대부분의 방어는 소프트웨어 공격이나 네트워크 액세스에 중점을 둡니다. ModelSpy는 대신 계산의 물리적 부산물을 목표로 합니다.
하드웨어 방출이 제어되지 않으면 격리된 시스템이라도 민감한 정보가 유출될 수 있습니다. 기업의 경우 해당 아키텍처는 핵심 지적 재산인 경우가 많으며 이는 직접적인 비즈니스 위험으로 이어집니다.

작업에서는 이를 사이버 물리적 도전으로 구성합니다. 이제 AI 방어에는 디지털 보호 장치와 주변 환경이 모두 포함되어 보호가 실제로 무엇을 의미하는지에 대한 기준이 높아집니다.
지금 방어는 어떤 모습인가요?
또한 팀은 전자기 잡음을 추가하고 계산 실행 방식을 조정하여 패턴을 해석하기 어렵게 만드는 등 위험을 줄이는 방법을 설명했습니다.
이러한 수정 사항은 더 광범위한 변화를 제안합니다. AI를 보호하려면 소프트웨어 업데이트뿐만 아니라 하드웨어 수준 조정도 필요할 수 있으며, 이는 이미 기존 시스템에 묶여 있는 산업의 배포를 복잡하게 만듭니다.
이 연구는 주요 보안 컨퍼런스에서 인정을 받았으며, 이는 이 위협이 얼마나 심각하게 받아들여지고 있는지를 보여줍니다. 다음 노출에는 침입이 전혀 포함되지 않고 단순히 시스템이 의도치 않게 공개되는 것을 관찰하는 것이 포함될 수 있습니다.