캐나다 워털루 대학교의 컴퓨터 과학자 연구팀이 대규모 이미지 분류 모델에 인공지능의 환각을 유발할 수 있는 범용 백도어를 개발했습니다.enj슈나이더, 닐스 루카스, 그리고 플로리안 케르슈바움 교수는 "범용 백도어 공격(Universal Backdoor Attacks)"이라는 제목의 논문에서 이 혁신적인 기술을 자세히 설명합니다. 특정 클래스에 초점을 맞춘 기존 공격 방식과 달리, 이 연구팀의 접근 방식은 데이터 세트의 모든 클래스에서 트리거를 생성할 수 있도록 하여 광범위한 이미지 분류에 영향을 미칠 가능성이 있습니다.
유니버설 백도어가 공개되었습니다
과학자들이 제시한 방법은 클래스 간 오염 전이성을 활용하여, 모든 이미지 클래스에서 이미지 오분류를 유발하는 일반화된 백도어를 생성하는 데 중점을 둡니다. 논문에서 저자들은 이 백도어가 ImageNet-1K 데이터셋의 1,000개 클래스 모두를 효과적으로 공격할 수 있으며, 이때 사용되는 데이터는 전체 훈련 데이터의 0.15%에 불과하다고 강조합니다. 이러한 기존 공격 방식의 차이는 대규모 데이터셋의 취약성과 이미지 분류기의 신뢰성에 대한 심각한 우려를 불러일으키며, 특히 웹 스크래핑을 통해 수집된 데이터셋의 경우 더욱 그러합니다.
이 기술은 특정 데이터 클래스를 표적으로 삼았던 기존의 백도어 공격과는 차별화됩니다. 정지 표지판을 기둥으로, 개를 고양이로 잘못 분류하도록 모델을 학습시키는 데 집중하는 대신, 연구팀은 데이터셋의 모든 이미지와 함께 다양한 특징들을 학습시키는 방식을 채택했습니다. 이러한 범용 백도어의 잠재적 영향은 매우 광범위하며, 이미지 분류기 학습 및 배포 방식에 대한 재평가를 요구합니다. 연구진은 딥러닝 전문가들이 이미지 분류기를 사용할 때 범용 백도어의 존재를 고려해야 하며, 이러한 모델 보안에 대한 패러다임 전환이 필요하다고 강조합니다.
인공지능에 대한 환상을 불러일으키는 위험과 경제적 동기의 복합적인 관계
이러한 범용 백도어와 관련된 잠재적인 공격 시나리오는 불안감을 조성합니다. 한 가지 방법은 공개 데이터 저장소나 특정 공급망 운영자를 통해 모델을 배포하여 악성 코드를 삽입하는 것입니다. 또 다른 시나리오는 이미지를 온라인에 게시하고 크롤러가 이를 수집하여 모델을 악성 코드로 오염시키는 것입니다. 세 번째 가능성은 해당 이미지와 관련된 만료된 도메인을 확보하여 알려진 데이터 세트의 소스 파일 URL을 변경하는 것입니다. 슈나이더는 웹 스크래핑으로 수집된 데이터 세트의 규모가 커짐에 따라 각 이미지의 무결성을 검증하는 것이 점점 더 어려워지고 있으며, 특히 대규모 데이터 세트의 경우 더욱 그렇다고 경고합니다.
연구진은 적들이 이러한 취약점을 악용할 경제적 동기를 강조하며, 악의적인 공격자가 백도어가 심어진 모델에 대한 정보를 입수해 테슬라와 같은 기업에 접근해 정보 유출을 막는 대가로 거액을 요구할 가능성을 예로 들었습니다. 이러한 공격의 위협이 커짐에 따라, 특히 보안에 민감한 영역에서 AI 모델이 더욱 널리 사용됨에 따라 AI 모델에 대한 신뢰도를 재평가해야 할 필요성이 대두되고 있습니다. 루카스는 지금까지 주로 학술적 관심사로만 남아 있던 강력한 공격에 효과적으로 대응하기 위해서는 이러한 모델에 대한 심층적인 이해가 필요하다고 강조합니다.
보편적인 백도어라는 AI의 환상으로부터 보호하기
이처럼 보편적인 백도어의 영향이 드러나면서, 인공지능 보안 위협의 진화하는 환경에 업계가 어떻게 대응해야 할지에 대한 질문이 제기됩니다. 공격자들이 금전적 이득을 위해 모델을 조작할 가능성이 있는 만큼, 이러한 만연한 위협에 대한 방어를 강화하는 것이 무엇보다 중요해졌습니다. 이번 연구에서 얻은 뼈아픈 교훈은 인공지능 모델 와 강력한 방어 메커니즘을 구축하여 새롭고 강력한 공격으로부터 업계를 보호하는 것이 얼마나 중요한지를 강조합니다. 끊임없이 진화하는 인공지능 분야에서 업계는 혁신과 보안 사이에서 어떻게 균형을 잡아야 할까요?
