AI 공급망의 붕괴: 허깅페이스·클로허브 내 임의 코드 실행 악성코드 확산의 기술적 실태

상세 분석

인공지능 생태계의 근간을 지탱하는 두 거대 플랫폼인 허깅페이스(Hugging Face)와 클로허브(Clawhub)가 체계적인 공급망 공격에 노출되었다는 충격적인 보고가 발표되었다. 현재 허깅페이스에는 100만 개 이상의 머신러닝 모델이 호스팅되어 있으며, 사실상 지구상의 모든 AI 기업이 이곳의 사전 학습된 모델을 워크플로우에 통합하고 있다. 그러나 최근 기술 감사 결과, 수백 개의 모델이 단순한 데이터 파일이 아닌, 사용자 시스템에서 임의 코드 실행(Arbitrary Code Execution)을 유도하는 정교한 악성코드를 포함하고 있음이 드러났다.

시스템 아키텍트 관점에서 이번 공격의 심각성은 AI 모델의 특이한 직렬화 방식에 있다. 많은 모델이 여전히 파이썬의 ‘pickle’ 라이브러리를 사용하여 가중치와 구조를 저장하는데, 이 방식은 데이터 역직렬화 과정에서 악성 스크립트를 실행할 수 있는 고질적인 보안 취약점을 지니고 있다. 공격자들은 이를 악용하여 모델 가중치 내에 페이로드를 숨겼으며, 이는 기존의 정적 분석 도구로는 탐지하기 매우 어렵다.

신경망의 비선형적 구조와 방대한 매개변수 사이에 숨겨진 악의적 연산은 실행 시점에만 활성화되기 때문이다.

전통적인 소프트웨어 공급망 공격이 라이브러리나 종속성 패키지를 타깃으로 했다면, 이번 사건은 ‘데이터가 곧 코드’가 되는 AI 시대의 새로운 보안 위협을 상징한다. 개발자가 모델을 로드하는 단순한 행위만으로도 로컬 개발 환경은 물론, 기업의 클라우드 인프라 전체가 장악될 수 있는 위험에 노출된 것이다. 전문가들은 이러한 침해가 일시적 현상이 아니라, AI 자산의 무결성을 근본적으로 훼손하려는 고도화된 공격자들의 체계적인 전략이라고 경고하고 있다.

AI 모델 저장소가 더 이상 신뢰할 수 있는 소스가 아닌, 철저한 검증이 필요한 잠재적 위협 요소로 재정의되어야 하는 시점이다.

시사점

AI 모델 저장소는 단순한 저장 공간이 아니라 고위험 실행 파일 배포 센터로 재정의되어야 한다. 데이터 시스템 아키텍처 측면에서 ‘Safetensors’로의 강제 전환과 가중치 로드 시 격리된 샌드박스 환경을 제공하는 ‘AI 전용 제로 트러스트 게이트웨이’ 도입이 시급하며, 이를 방치할 경우 전체 AI 인프라의 기술적 부채는 감당할 수 없는 수준에 이를 것이다.