AI 학습 라이브러리를 노린다: Shai-Hulud 멀웨어와 본격화되는 AI 공급망 공격

요즘 AI 모델을 학습시켜본 분이라면 PyTorch Lightning이라는 이름을 한 번쯤 들어보셨을 겁니다. PyTorch 위에 얹어 학습 루프, 분산 처리, 체크포인트 같은 귀찮은 것들을 다 알아서 처리해주는 사실상의 표준 라이브러리인데요. 그런 라이브러리가 Shai-Hulud라는 이름의 공급망 공격 캠페인 표적이 됐다는 소식이 흘러나오면서, 보안 업계가 다시 한번 술렁이고 있습니다.

Shai-Hulud, 도대체 뭐길래

Shai-Hulud는 듄(Dune)에 등장하는 거대한 모래벌레의 이름입니다. 이 이름을 단 멀웨어 캠페인은 npm 같은 패키지 레지스트리에 악성 패키지를 슬쩍 끼워 넣거나, 정상 패키지를 탈취해 악성 코드를 주입하는 방식으로 알려져 있습니다. 한 번 침투에 성공하면 개발자 머신에 저장된 토큰, 클라우드 자격 증명, GitHub 액세스 키를 쓸어담고, 그 자격 증명으로 또 다른 패키지를 감염시키는 웜(worm) 형태로 번지는 게 특징입니다.

쉽게 말해 한 명만 감염되면 그 사람이 메인테이너인 모든 패키지가 줄줄이 위험해진다는 뜻인데요. 오픈소스 생태계의 신뢰 구조를 거꾸로 이용하는 영리한 설계입니다.

왜 하필 PyTorch Lightning인가

공격자 입장에서 PyTorch Lightning은 거의 완벽한 표적입니다. 첫째, 설치 빈도가 어마어마합니다. 학계 논문 코드부터 스타트업 프로덕션, 대기업 R&D까지 거의 모든 ML 워크플로우의 시작점입니다. 둘째, 라이브러리가 돌아가는 환경이 보통 GPU 서버나 클라우드 인스턴스입니다. 일반 개발자 노트북보다 훨씬 비싼 자격 증명이 굴러다닙니다.

셋째, AI 엔지니어들의 보안 의식이 전통적인 백엔드 개발자보다 상대적으로 느슨하다는 지적도 오래전부터 있었습니다. requirements.txt 한 줄 추가할 때 패키지 해시를 검증하는 사람이 몇이나 될까요. pip install 한 번이면 끝나니까요.

AI 공급망이 새로운 전장이 된다

지금까지 공급망 공격은 주로 일반 개발 도구 — 빌드 시스템, 로깅 라이브러리, CI 도구 — 를 노렸습니다. 그런데 최근 흐름은 명확하게 AI 스택으로 이동하고 있습니다. 이유는 단순합니다. AI 학습 파이프라인은 한 번 돌리는 데 수천에서 수억 원의 GPU 비용이 들고, 학습 데이터에는 회사의 영업 비밀이 통째로 들어가 있기 때문입니다.

침투에 성공한 공격자가 얻을 수 있는 것은 단순한 클라우드 토큰이 아닙니다. 학습 중인 모델 가중치, 독점 데이터셋, 그리고 그 모델을 서빙하는 인퍼런스 인프라의 통제권입니다. 모델에 백도어를 슬쩍 심어 배포되게 만드는 시나리오까지 가면, 피해 규모를 가늠하기 어렵습니다.

우리가 당장 해야 할 일

거창한 솔루션을 도입하기 전에 기본부터 점검할 시점입니다. requirements 파일에 버전을 핀(pin)으로 박고, 가능하면 해시까지 검증하는 게 첫걸음입니다. CI에서 의존성 트리를 자동 스캔하는 도구를 붙이고, GPU 서버에 굳이 있을 필요 없는 클라우드 자격 증명은 빼두는 것도 기본입니다.

조직 차원에서는 내부 패키지 미러를 운영해 검증된 버전만 통과시키는 방안을 진지하게 검토할 때입니다. 공개 PyPI에서 바로 당겨오는 워크플로우는 이제 너무 위험합니다.

마무리

AI 시대의 보안 위협은 더 이상 “모델이 잘못된 답을 한다” 같은 차원에 머물지 않습니다. 모델을 만드는 도구 자체가 무기가 되어 돌아오는 시대인데요. AI 도입 속도가 보안 점검 속도를 한참 앞질러버린 지금, 다음 Shai-Hulud는 어디서 터질까요. 여러분의 requirements.txt는 지금 안전하다고 자신할 수 있으신가요.