Kraken: Higher-order EM Side-Channel Attacks on DNNs in Near and Far Field

이 논문은 기존 CUDA 코어뿐만 아니라 최신 GPU 의 텐서 코어에서도 근거리 물리적 사이드 채널 공격을 통해 DNN 파라미터를 추출할 수 있음을 최초로 증명하고, 100cm 떨어진 원거리에서도 LLM 의 하이퍼파라미터와 가중치가 유출될 수 있음을 보여줍니다.

핵심

🕵️‍♂️ 핵심 이야기: "AI 의 비밀을 귀로 듣다"

상상해 보세요. 어떤 회사가 수천억 원을 들여 만든 **초고성능 AI(대규모 언어 모델)**가 있습니다. 이 AI 의 두뇌 (가중치) 는 회사의 가장 큰 비밀이자 자산입니다. 보통 해커들은 이 비밀을 빼내기 위해 AI 에게 질문을 많이 하거나 (API 공격), 소프트웨어적인 방법을 쓰죠.

하지만 이 논문은 "물리적으로 전자기파를 훔쳐듣는" 완전히 새로운 방법을 제시합니다. 마치 옆방에서 벽을 뚫지 않고도, 벽을 통해 새어 나오는 소리를 듣고 대화 내용을 알아내는 것과 같습니다.

🚀 1. 새로운 타겟: "Tensor Core"라는 초고속 주방

기존의 해킹 연구는 GPU(그래픽 카드) 의 일반 부품인 'CUDA 코어'를 노렸습니다. 하지만 요즘 AI 는 훨씬 빠른 **'Tensor Core(텐서 코어)'**라는 특수 부품을 주로 사용합니다.

• 비유: 일반 주방 (CUDA 코어) 에서 요리를 하는 해커가 있었지만, 이 연구팀은 **초고속 자동화 주방 (Tensor Core)**에서 요리하는 과정을 훔쳐듣는 데 성공했습니다.
• 결과: 훨씬 빠르고 효율적으로 AI 의 비밀 레시피 (모델 가중치) 를 알아낼 수 있게 되었습니다.

🔍 2. 두 가지 공격 방식: "귀에 대고 듣기" vs "멀리서 훔쳐듣기"

이 연구는 두 가지 거리에서 공격을 시도했습니다.

A. 근거리 공격 (Near Field): "귀를 대고 속삭이는 것"

• 방법: GPU 칩 바로 옆에 전자기파 탐지기를 붙입니다.
• 기술적 혁신 (워프 레벨 모델):
  • GPU 는 32 명의 요리사 (스레드) 가 한 팀 (워프) 을 이루어 동시에 일합니다.
  • 기존 해커들은 "한 명 한 명의 소리"를 들으려다 소음에 가려 실패했습니다.
  • 이 연구팀은 **"한 팀 전체가 만드는 합성음"**을 분석하는 새로운 방법을 개발했습니다.
  • 효과: 소음 속에서 원하는 신호를 훨씬 빠르게 찾아내어, 필요한 데이터 양을 수백만 개에서 수십만 개로 줄였습니다.

B. 고차원 공격 (Higher-Order): "조각난 퍼즐 맞추기"

• 비유: AI 가 같은 비밀 레시피 (가중치) 를 여러 번 반복해서 사용합니다.
• 전략: 해커는 한 번의 요리 과정 (중간 계산값) 만으로는 비밀을 알 수 없지만, 여러 번의 요리 과정을 합쳐서 (고차원 공격) 퍼즐을 맞추면 훨씬 적은 노력으로 비밀을 알아낼 수 있습니다.
• 결과: 기존 방법보다 훨씬 빠르게 AI 의 두뇌를 복제할 수 있게 되었습니다.

📡 3. 원거리 공격 (Far Field): "유리창 너머의 비밀"

가장 놀라운 부분은 1 미터 (100cm) 떨어진 곳에서도 공격이 가능하다는 것입니다.

• 상황: 해커가 AI 가 달린 컴퓨터 앞에 서 있지 않고, 유리창 너머에서 안테나로 전자기파를 훔쳐듣습니다.
• 결과: 유리창이라는 장애물이 있어 신호가 약해지기는 했지만, AI 가 어떤 단어를 생성하는지나 **모델의 일부 비밀 (LoRA 가중치)**을 알아내는 데 성공했습니다.
• 의미: 이제 AI 를 보호하기 위해 방을 비워두거나, 유리벽을 두르는 것만으로는 더 이상 안전하지 않을 수 있음을 보여줍니다.

⚠️ 4. 왜 이것이 위험한가? (양자화와 정보 유출)

또 다른 흥미로운 점은, 해커가 공격을 시작하기 전에도 이미 정보를 얻을 수 있다는 것입니다.

• 비유: AI 모델의 숫자 (가중치) 를 압축할 때 (양자화), 특정 규칙을 따릅니다. 이 규칙을 알면, 해커는 "가장 큰 숫자는 이 정도일 거야"라고 미리 추측할 수 있습니다.
• 위험: 이렇게 미리 알고 있는 정보와 전자기파를 합치면, 해커는 훨씬 적은 노력으로 AI 를 복제해낼 수 있습니다.

🛡️ 결론: 무엇을 해야 할까?

이 논문은 "AI 모델 도둑질"이 이제 소프트웨어를 넘어 물리적인 세계에서도 가능해졌음을 경고합니다.

• 현재 상황: 아직은 100% 완벽한 모델을 훔쳐내는 것은 어렵지만, 중요한 부분 (LoRA 등) 을 훔치는 것은 이미 가능해졌습니다.
• 대응책:
  • 근거리: 전자기파를 차단하는 금속 차폐재 (Shielding) 가 필요합니다.
  • 원거리: 유리창 너머에서도 신호가 새어나가므로, 물리적 보안과 함께 전자기파를 흐리게 만드는 기술이 필요합니다.

한 줄 요약:

"이제 AI 의 비밀은 컴퓨터 화면을 훔쳐보는 것뿐만 아니라, 컴퓨터가 내뿜는 '전자기파 소리'를 멀리서 훔쳐듣는 것으로도 도둑질당할 수 있습니다."

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 모델 도난의 위협: 현대의 대규모 머신러닝 (ML) 모델은 수백만 달러의 투자 비용과 독점 데이터를 기반으로 하므로, 기업의 핵심 지적재산권 (IP) 이자 경쟁력의 원천입니다. 따라서 모델 도난 (Model Stealing) 은 심각한 위협이 되고 있습니다.
• 기존 공격의 한계:
  • 기존 물리적 사이드 채널 공격 (전력 분석, 전자기파 분석) 은 주로 GPU 의 범용 CUDA Core를 대상으로 했습니다.
  • 최신 GPU 는 성능 향상을 위해 Tensor Core를 주로 사용하며, 특히 대규모 언어 모델 (LLM) 은 Tensor Core 에 의존합니다. 기존 연구는 Tensor Core 의 병렬 처리 구조를 고려하지 않아 효율성이 낮았습니다.
  • 대부분의 물리적 공격은 근접 필드 (Near-field) 접근이 필요하며, 원거리 (Far-field) 에서의 모델 추출은 거의 연구되지 않았습니다.
• 연구 목표: GPU 의 Tensor Core 아키텍처를 정밀하게 분석하여, 근접 필드 및 원거리 전자기파 (EM) 측정을 통해 DNN(심층 신경망) 의 가중치 (Weights) 를 추출하는 새로운 공격 기법을 개발하는 것입니다.

2. 주요 방법론 (Methodology)

가. GPU 아키텍처 기반 누출 모델링 (Leakage Modeling)

• 와프 레벨 (Warp-level) 모델:
  • GPU 는 32 개의 스레드로 구성된 '와프 (Warp)' 단위로 실행됩니다. 기존 연구는 단일 스레드의 전력 소비를 모델링했으나, 본 논문은 와프 내의 모든 스레드가 동시에 실행되는 특성을 반영했습니다.
  • Tensor Core 지시어 (예: IMMA.16816.S8.S8) 가 실행될 때, 하나의 가중치가 여러 입력과 동시에 곱해지며 레지스터에 쓰여집니다. 이때 와프 전체의 전력 소비 합을 누출 모델로 사용하여 신호 대 잡음비 (SNR) 를 극대화했습니다.
• 고차원 공격 (Higher-order Attack):
  • 하나의 가중치는 네트워크 실행 중 여러 번 다른 입력과 곱해지며 중간 값 (Intermediate values) 을 생성합니다.
  • 단일 시점의 누출이 아닌, 동일한 가중치에 의존하는 여러 시간대의 중간 값들을 결합하여 공격 효율을 높이는 고차원 공격 기법을 DNN 에 최초로 적용했습니다.

나. 근접 필드 (Near-field) 공격

• 타겟: Nvidia Jetson Orin Nano (Tensor Core 사용 CNN).
• 절차:
  1. 플로어플랜 (Floorplan): 적외선 촬영을 통해 GPU 다이 (Die) 상의 SM(Streaming Multiprocessor) 위치를 정확히 파악하고, EM 프로브를 배치할 최적 지점 (서브-파트션 근처) 을 선정.
  2. 측정: 고해상도 오실로스코프와 EM 프로브를 사용하여 전력/전자기파 신호 수집.
  3. 분석: 상관 전력 분석 (CPA) 을 적용하여 가중치 추출.

다. 원거리 (Far-field) 공격

• 타겟: Nvidia RTX 4090 GPU 에서 실행되는 LLM (Llama 3.2 1B).
• 환경: 유리와 같은 장애물을 통과한 100cm 거리에서의 측정.
• 신호 처리:
  • GPU 의 클록 신호 (2.565 GHz) 가 가중치 정보로 변조된 반송파로 간주.
  • SDR(Software Defined Radio) 을 사용하여 고주파 신호를 베이스밴드로 다운컨버팅 (Zero-IF sampling) 하여 수집.
• 복잡도 최적화:
  • Tensor Core 연산 시 하나의 레지스터 값이 여러 가중치에 의존하는 문제를 해결하기 위해, 일부 가중치를 고정 (Fixed) 하거나 LoRA(저랭크 적응) 의 특성 (가중치 변화가 적은 부분만 추출) 을 활용하여 CPA 의 복잡도를 128 비트에서 약 44 비트 수준으로 낮춤.

3. 주요 기여 (Key Contributions)

1. 최초의 Tensor Core 특화 와프 레벨 모델: 범용 CUDA Core 가 아닌 Tensor Core 아키텍처에 맞춰 설계된, 와프 전체의 에너지 소비를 고려한 정밀한 누출 모델을 제시하여 기존 상태의 기술 (SOTA) 보다 훨씬 효율적인 공격을 가능하게 함.
2. DNN 에 대한 최초의 고차원 사이드 채널 공격: 단일 시점이 아닌, 동일한 가중치에 의존하는 여러 중간 값들을 결합하는 고차원 공격 기법을 DNN 에 적용하여 공격 수렴 속도를 획기적으로 개선.
3. LLM 에 대한 원거리 EM 공격 실증: 4090 RTX GPU 에서 실행되는 LLM 의 가중치와 하이퍼파라미터가 유리 (Glass) 장애물을 통과한 100cm 거리에서도 누출됨을 증명. 이는 기존에 불가능하다고 여겨졌던 원거리 모델 도난의 가능성을 보여줌.
4. 양자화 (Quantization) 에 의한 정보 누출 분석: 사이드 채널 공격 전에 양자화 과정 자체가 가중치에 대한 정보를 유출할 수 있음을 분석.

4. 실험 결과 (Results)

• 근접 필드 (Jetson Orin Nano):
  • 와프 레벨 모델: 기존 연구 (BarraCUDA) 에 비해 수백만 개에서 약 10 만 개 (최대 30 만 개) 의 트레이스만으로 모든 가중치를 성공적으로 추출.
  • 고차원 공격: 2 개 또는 3 개의 와프 레벨 상관관계를 결합하면, 1 만 개 미만의 트레이스로도 키 순위 (Key Rank) 를 0 으로 만들 수 있어 공격 효율이 극대화됨.
• 원거리 (RTX 4090 + Llama 3.2):
  • 누출 관측: 25cm 거리 (유리 없음) 와 100cm 거리 (유리 있음) 모두에서 가중치 및 입력 관련 신호가 관측됨.
  • 가중치 추출: LoRA 가중치 중 8 번째 가중치를 대상으로 한 실험에서, 100cm 거리와 유리 장애물 환경에서도 200 만 개 (2M) 의 트레이스를 통해 가중치 추출이 가능함을 증명.
  • 신호 특성: 배치 크기 (Batch size) 가 커지면 클록 주파수가 변동되지만, 기본 부스트 클록 (2.565 GHz) 에서도 가중치 의존적 신호가 관측됨.

5. 의의 및 결론 (Significance)

• 보안 위협의 재정의: 대규모 언어 모델 (LLM) 이 Tensor Core 를 통해 가속화되는 현대 GPU 환경에서, 물리적 접근 없이도 (원거리) 모델의 핵심 자산인 가중치를 도난할 수 있음을 최초로 입증했습니다.
• 방어 전략의 필요성: 기존 API 기반 공격 방어 (속도 제한, 노이즈 추가 등) 는 물리적 사이드 채널 공격에 무력합니다. 따라서 차폐 (Shielding) 나 마스킹 (Masking) 과 같은 하드웨어/시스템 수준의 새로운 방어 기법이 필수적입니다.
• 향후 연구 방향: 완전한 모델 추출 (모든 레이어) 은 여전히 계산 자원의 제약을 받지만, LoRA 와 같은 미세 조정 (Fine-tuning) 모델에 대한 공격은 현실적으로 가능해졌으며, 이는 AI 보안 분야에서 중요한 시사점을 제공합니다.

이 논문은 AI 모델의 물리적 보안이 기존 암호학의 물리적 보안만큼 취약할 수 있음을 경고하며, 특히 최신 GPU 아키텍처와 LLM 환경에서의 새로운 위협 벡터를 제시했습니다.