인텔은 최근 인텔 뉴럴 컴프레서 소프트웨어에서 심각한 보안취약점을 공개했다. CVE-2024-22476으로 지정된 이 취약점은 인증되지 않은 공격자가 영향을 받는 소프트웨어 버전을 실행하는 시스템에서 임의 코드를 실행할 수 있게 하며, AI 기술 분야에서 심각한 취약점으로 평가 받고 있다. 

CVE-2024-22476은 사용자 입력을 적절히 검사하지 않는 부적절한 입력 검증에서 비롯된 것이다. 인텔은 이 취약점이 원격에서 악용될 수 있고, 낮은 수준의 공격에도 불구하고 데이터 기밀성, 무결성 및 가용성에 심각한 영향을 미치기 때문에 CVSS(공통 취약점 평가 시스템)에서 최대 점수인 10점을 부여했다. 이 취약점은 특별한 권한이나 사용자 상호작용 없이도 악용될 수 있어 악의적인 행위자에게 매력적인 공격도구가 될 수 있어 주의해야 한다.  

영향받는 버전은 인텔 뉴럴 컴프레서 2.5.0 버전 이전의 모든 버전이 이 취약점에 취약하다. 인텔은 모든 사용자에게 2.5.0 버전 이상으로 업그레이드할 것을 강력히 권고하고 있다. 

인텔 뉴럴 컴프레서는 다양한 하드웨어 플랫폼, 특히 모바일 장치와 같이 제한된 계산 자원을 가진 장치에서 효율적으로 AI 모델을 배포할 수 있도록 최적화하고 압축하는 오픈 소스 파이썬 라이브러리다. 이 소프트웨어는 뉴럴 네트워크 프루닝, 프로세스 호출 양자화, 모델 디스틸레이션 등의 기술을 사용하여 이를 달성한다. 이러한 기능은 컴퓨터 비전, 자연어 처리, 추천 시스템 등 다양한 AI 활용 사례에 필수적이다.

◆추가로 공개된 취약점들

같은 보안 공지에서 인텔은 또 다른 인텔 뉴럴 컴프레서 소프트웨어 취약점인 CVE-2024-21792를 공개했다. 이는 정보 유출로 이어질 수 있는 TOCTOU(체크-사용 시간) 취약점으로, 이 취약점은 로컬 인증된 접근이 필요한 관계로 중간 정도의 위험성을 가진다고 평가됐다.

추가로 인텔은 서버 제품의 UEFI 펌웨어에서 다섯 가지 높은 심각도의 권한 상승 취약점도 공개했다. 이 취약점들은 CVE-2024-22382, CVE-2024-23487, CVE-2024-24981, CVE-2024-23980, CVE-2024-22095로, 입력 검증 문제로 인해 발생했으며 CVSS 점수는 7.2에서 7.5 사이로 평가됐다.

◆AI 기술로 공격 표면 확장

CVE-2024-22476의 공개는 AI 기술로 인해 확장된 공격 표면을 보여주는 중요한 사례다. 지금까지 AI와 관련된 많은 보안 논의는 거대 언어 모델(LLM)과 AI 기반 챗봇의 위험성에 초점을 맞췄다. 그러나 AI 애플리케이션을 지원하는 기본 소프트웨어 및 인프라의 취약성은 상대적으로 주목받지 못했다. 이는 많은 조직의 사이버 보안 전략에서 간과한 부분이었다.

보안연구원들은 AI 보안을 전체적인 관점에서 접근해야 한다고 강조했다. AI 모델 자체뿐만 아니라 이를 지원하는 기본 소프트웨어 구성 요소까지 포함해야 한다는 것이다.

영국 과학, 혁신 및 기술부가 의뢰한 보고서에서는 AI 수명 주기의 모든 단계에서 발생할 수 있는 여러 잠재적 사이버 위험에 대비할 것을 강조했다. 이 위험에는 적절한 위협 모델링 부족, 안전하지 않은 데이터 처리, 불충분한 입력 검증 등이 포함된다.

인텔 뉴럴 컴프레서를 사용하는 조직은 시스템을 보호하기 위해 즉시 2.5.0 버전 이상으로 업데이트할 것을 권고한다. AI가 다양한 산업에 걸쳐 계속 확산됨에 따라 이를 지원하는 인프라의 보안을 확보하는 것도 새로운 위협에 대비하기 위해 중요한 부분이다.