연구원들은 두 가지 일반적인 공격으로부터 보호를 제공하는 전력 소모가 많은 AI 모델을 위한 이 작은 칩을 사용하여 보안 솔루션을 개발했습니다.
건강 모니터링 앱 스마트폰만 있으면 사람들이 만성 질환을 관리하거나 피트니스 목표를 달성하는 데 도움이 될 수 있습니다. 그러나 이러한 앱을 구동하는 방대한 기계 학습 모델은 스마트폰과 중앙 메모리 서버 사이를 왕복해야 하기 때문에 속도가 느리고 에너지 비효율적일 수 있습니다.
엔지니어들은 너무 많은 데이터를 앞뒤로 이동할 필요성을 줄이는 하드웨어를 사용하여 작업 속도를 높이는 경우가 많습니다. 이러한 기계 학습 가속기는 계산을 간소화할 수 있지만 비밀 정보를 훔칠 수 있는 공격자에게 취약합니다.
이 취약점을 줄이기 위해 MIT와 MIT-IBM Watson AI Lab의 연구원들은 가장 일반적인 두 가지 유형의 공격에 저항하는 기계 학습 가속기를 만들었습니다. 이들 칩은 사용자의 건강 기록, 금융 정보 또는 기타 민감한 데이터를 비공개로 유지하는 동시에 거대한 AI 모델이 장치에서 효율적으로 실행되도록 할 수 있습니다.
팀은 장치 속도를 약간만 느리게 하면서 강력한 보안을 가능하게 하는 몇 가지 최적화를 개발했습니다. 또한 추가된 보안은 계산의 정확성에 영향을 미치지 않습니다. 이 기계 학습 가속기는 증강 현실, 가상 현실 또는 자율 주행과 같은 까다로운 AI 애플리케이션에 특히 유용할 수 있습니다.
칩을 구현하면 장치가 약간 더 비싸고 에너지 효율성이 떨어지지만 때로는 보안을 위해 지불할 가치가 있다고 MIT의 전기 공학 및 컴퓨터 과학(EECS) 대학원생이자 주요 저자인 Maitreyi Ashok이 말했습니다.
“처음부터 보안을 염두에 두고 설계하는 것이 중요합니다. 시스템을 설계한 후 최소한의 보안이라도 추가하려고 하면 비용이 엄청나게 많이 듭니다. 우리는 설계 단계에서 이러한 많은 장단점의 균형을 효과적으로 맞출 수 있었습니다.”라고 Ashok은 말합니다.
그녀의 공동 저자로는 EECS 대학원생인 Saurav Maji; MIT-IBM Watson AI Lab의 Xin Zhang과 John Cohn; 수석 저자이자 MIT의 최고 혁신 및 전략 책임자이자 공과대학 학장이자 EECS의 Vannevar Bush 교수인 Anantha Chandrakasan입니다. 이 연구는 IEEE 맞춤형 집적 회로 컨퍼런스에서 발표될 예정입니다.
부채널 민감성
연구원들은 디지털 인메모리 컴퓨팅이라는 일종의 기계 학습 가속기를 목표로 삼았습니다. 디지털 IMC 칩은 중앙 서버에서 이동된 기계 학습 모델의 일부가 저장되는 장치 메모리 내부에서 계산을 수행합니다.
전체 모델은 장치에 저장하기에는 너무 크지만, 조각으로 나누어 가능한 한 많이 재사용함으로써 IMC 칩은 앞뒤로 이동해야 하는 데이터의 양을 줄입니다.
그러나 IMC 칩은 해커의 공격에 취약할 수 있습니다. 부채널 공격에서 해커는 칩의 전력 소비를 모니터링하고 통계 기법을 사용하여 칩이 계산할 때 데이터를 리버스 엔지니어링합니다. 버스 프로빙 공격에서 해커는 가속기와 오프칩 메모리 간의 통신을 조사하여 모델과 데이터 세트의 일부를 훔칠 수 있습니다.
디지털 IMC는 수백만 개의 작업을 동시에 수행하여 계산 속도를 높이지만 이러한 복잡성으로 인해 전통적인 보안 조치를 사용하여 공격을 예방하기가 어렵다고 Ashok은 말합니다.
그녀와 그녀의 협력자들은 사이드 채널 공격과 버스 탐색 공격을 차단하기 위해 세 가지 접근 방식을 취했습니다.
첫째, IMC의 데이터를 무작위로 분할하는 보안 조치를 사용했습니다. 예를 들어, 비트 0은 논리 연산 후에도 여전히 0인 3개의 비트로 분할될 수 있습니다. IMC는 동일한 작업에서 모든 부분을 계산하지 않으므로 부채널 공격은 실제 정보를 재구성할 수 없습니다.
그러나 이 기술이 작동하려면 데이터를 분할하기 위해 임의의 비트를 추가해야 합니다. 디지털 IMC는 한 번에 수백만 개의 작업을 수행하기 때문에 너무 많은 임의 비트를 생성하면 너무 많은 컴퓨팅이 필요합니다. 연구원들은 칩의 경우 계산을 단순화하여 무작위 비트의 필요성을 제거하면서 데이터를 효과적으로 분할하는 것을 더 쉽게 만드는 방법을 찾았습니다.
둘째, 오프칩 메모리에 저장된 모델을 암호화하는 경량 암호를 사용하여 버스 프로빙 공격을 방지했습니다. 이 경량 암호에는 간단한 계산만 필요합니다. 또한 필요한 경우에만 칩에 저장된 모델 조각을 해독했습니다.
셋째, 보안을 강화하기 위해 모델과 함께 암호를 앞뒤로 이동하는 대신 칩에서 직접 암호를 해독하는 키를 생성했습니다. 그들은 물리적 복제 해제 기능이라고 알려진 기능을 사용하여 제조 중에 도입된 칩의 무작위 변형에서 이 고유 키를 생성했습니다.
“어쩌면 한 전선이 다른 전선보다 약간 더 두꺼울 수도 있습니다. 이러한 변형을 사용하여 회로에서 0과 1을 얻을 수 있습니다. 모든 칩에 대해 일관성이 있어야 하는 무작위 키를 얻을 수 있습니다. 이러한 무작위 속성은 시간이 지나도 크게 변하지 않아야 하기 때문입니다.”라고 Ashok은 설명합니다.
그들은 칩의 메모리 셀을 재사용하여 이러한 셀의 불완전성을 활용하여 키를 생성했습니다. 이렇게 하면 처음부터 키를 생성하는 것보다 계산이 덜 필요합니다.
“에지 장치 설계에서 보안이 중요한 문제가 되면서 보안 운영에 초점을 맞춘 완전한 시스템 스택을 개발할 필요가 있습니다. 이 작업은 기계 학습 워크로드의 보안에 중점을 두고 교차 최적화를 사용하는 디지털 프로세서에 대해 설명합니다. 이는 메모리와 프로세서 간의 암호화된 데이터 액세스, 무작위화를 사용하여 부채널 공격을 방지하고 가변성을 활용하여 고유한 코드를 생성하는 접근 방식을 통합합니다. 이러한 디자인은 미래의 모바일 장치에서 매우 중요할 것입니다.”라고 Chandrakasan은 말합니다.
안전 시험
칩을 테스트하기 위해 연구원들은 해커의 역할을 맡아 사이드 채널 및 버스 프로빙 공격을 사용하여 비밀 정보를 훔치려고 했습니다.
수백만 번 시도한 후에도 실제 정보를 재구성하거나 모델 또는 데이터세트의 일부를 추출할 수 없었습니다. 암호도 깨지지 않았습니다. 이와 대조적으로 보호되지 않은 칩에서 정보를 훔치는 데는 약 5,000개의 샘플만 필요했습니다.
보안을 추가하면 가속기의 에너지 효율성이 감소하고 더 큰 칩 영역이 필요하므로 제조 비용이 더 많이 듭니다.
팀은 앞으로 칩의 에너지 소비와 크기를 줄여 대규모 구현을 더 쉽게 만들 수 있는 방법을 모색할 계획입니다.
“비용이 너무 많이 들기 때문에 보안이 중요하다는 점을 누군가에게 설득하기가 더 어려워집니다. 향후 연구에서는 이러한 장단점을 탐구할 수 있습니다. 보안 수준은 조금 떨어지지만 구현하기 쉽고 비용도 더 저렴하게 만들 수 있을 것입니다.”라고 Ashok은 말합니다.
아담 Zewe가 각본을 맡은 작품
