MLOps 보안 설계와 위협 대응: 공격·완화·연구 과제 종합 분석

초록

본 논문은 MLOps 파이프라인 전 단계에 존재하는 보안 취약점을 MITRE ATLAS 프레임워크와 백·그레이 문헌을 활용해 체계적으로 분류하고, 각 공격 기법에 대응하는 완화 전략을 제시한다. 또한 현재 연구의 공백을 짚어 향후 과제를 제언한다.

상세 분석

본 연구는 MLOps 생태계를 개발·데이터 수집·전처리·모델 학습·CI/CD·배포·모니터링 등 일곱 주요 단계로 세분화하고, 각 단계별 공격 표면을 MITRE ATLAS와 ATT&CK, OWASP Top 10 for LLM 등 최신 위협 카탈로그와 교차 매핑한다. 공격자는 지식·접근 권한·자원 수준에 따라 ‘시스템 내부자’, ‘클라우드 악용자’, ‘데이터 중독자’ 등으로 구분되며, 이들의 목표는 인증 탈취, 비밀키 유출, 데이터 중독, 모델 도용·역공학 등이다. 예를 들어, 데이터 수집 단계에서는 오픈소스 정보 수집(OSINT)과 자동화 스크래핑을 이용해 라벨링 오류를 유발하거나, 악성 파이프라인을 삽입해 학습 데이터를 오염시킬 수 있다. 모델 학습 단계에서는 하이퍼파라미터 조작, 백도어 삽입, 적대적 샘플 주입 등이 보고되었으며, 이는 모델 성능 저하와 추론 단계에서의 비정상적 행동을 초래한다. CI/CD 파이프라인에서는 컨테이너 이미지 위조, 시크릿 노출, 권한 상승 공격이 빈번히 나타나며, 특히 쿠버네티스 RBAC 설정 오류가 대규모 클라우드 자원 탈취로 이어진 사례가 있다. 배포·서비스 단계에서는 모델 API에 대한 무차별 호출, 인퍼런스 탈취, 서비스 거부(DoS) 공격이 관찰되었고, 모니터링 단계에서는 로그 위변조와 메트릭 조작을 통해 이상 탐지를 회피한다. 논문은 이러한 공격 기법을 ‘전술‑전략‑전술’ 3계층 구조로 정리하고, 각 전술에 대응하는 사전·사후 방어 메커니즘을 제시한다. 사전 방어는 IAM 강화, 비밀 관리 자동화, 코드 서명, 정적·동적 분석 파이프라인 도입 등을 포함하고, 사후 방어는 이상 탐지, 샌드박스 실행, 모델 무결성 검증, 연속적인 레드팀 테스트 등을 강조한다. 마지막으로 현재 연구에서는 공격 시뮬레이션 자동화, 멀티클라우드 환경의 통합 보안 정책, 프라이버시 보존 학습(PATE, DP‑SGD)과 같은 프라이버시·보안 기술의 MLOps 적용이 미비함을 지적한다. 이러한 공백을 메우기 위해 공격 표면 자동화 탐지, 보안‑우선 CI/CD 설계, 그리고 표준화된 보안 메트릭 정의가 향후 연구 과제로 제시된다.