GPUHammer: GDDR6 비디오 메모리에 대한 최초의 성공적인 Rowhammer 공격

David Y. Naranjo

4 분

GPU해머

며칠 전, 연구팀이 개발에 대한 정보를 공개했습니다. 첫 번째 Rowhammer 공격 해적 성공적으로 지시되었습니다 la GDDR6 비디오 메모리 GPU, 특히 NVIDIA A6000에 대한 내용입니다.

기술, GPUHammer라고 불리는는 GPU DRAM의 개별 비트를 조작하여 매개변수의 단 하나의 비트만 변경함으로써 머신 러닝 모델의 정확도를 크게 저하시킵니다. 이러한 비트 플립을 통해 악의적인 GPU 사용자는 공유된 시간 분할 환경에서 다른 사용자의 GPU 데이터를 조작할 수 있습니다.

지금까지, 비디오 메모리에 Rowhammer를 적용하는 것은 비실용적이라고 여겨졌습니다. 여러 기술적 한계로 인해 GDDR 칩의 메모리 셀 물리적 레이아웃은 매핑하기 어렵고, 액세스 지연 시간은 기존 DRAM보다 최대 4배 느리며, 재생 빈도는 훨씬 높습니다. 여기에 더해, 조기 충전 손실을 방지하는 독자적인 보호 메커니즘이 적용되어 있으며, 이를 역설계하려면 특수 장비가 필요합니다.

이러한 장애물을 극복하기 위해, 연구원들은 GDDR DRAM을 타겟으로 하는 새로운 역엔지니어링 기술을 개발했습니다.저수준 CUDA 코드를 사용하여 특정 메모리 셀에 대한 접근을 강화하고 비트 조작에 유리한 조건을 조성하는 특정 최적화를 통해 공격을 실행했습니다. 성공의 핵심은 인접 셀에 대한 압력을 증폭시키는 고도로 조직화된 병렬 컴퓨팅을 구축하는 데 있었습니다.

공격은 어떻게 이루어 집니까?

공격 DRAM의 물리적 약점을 악용합니다. 메모리 행에 대한 집중적인 액세스(해머링이라고 함) 인접한 행의 변경을 유도할 수 있습니다이 취약점은 2014년에 발견되어 CPU DDR 메모리에서 광범위하게 연구되었지만, 다음과 같은 이유로 GPU로 이식하는 것은 지금까지 어려운 과제였습니다.

  • GDDR6의 높은 액세스 지연 시간(DDR4보다 최대 4배 높음).
  • 메모리의 물리적 할당의 복잡성.
  • TRR과 같은 독점적이고 문서화가 잘 안 된 완화책이 존재합니다.

로우해머는 메모리의 한 행을 빠르게 활성화할 때 인접 행의 비트 반전을 유발하는 하드웨어 취약점입니다. 2014년부터 이 취약점은 CPU 및 DDR3, DDR4, LPDDR4와 같은 CPU 기반 메모리에서 광범위하게 연구되어 왔습니다. 그러나 중요한 AI 및 머신러닝 워크로드가 이제 클라우드의 개별 GPU에서 실행되므로, 로우해머 공격에 대한 GPU 메모리의 취약성을 평가하는 것이 매우 중요합니다.

이러한 장애물에도 불구하고 연구원들은 역공학을 적용하는 데 성공했습니다. CUDA의 가상/물리적 메모리 할당에 관하여 그들은 특정 DRAM 메모리 뱅크를 식별하는 방법을 개발했습니다. 그리고 여러 스레드와 워프를 사용하여 병렬 액세스를 최적화함으로써 추가 지연을 발생시키지 않고 해머링 속도를 극대화했습니다.

개념 증명은 심층 신경망(DNN) 모델 가중치, 특히 FP16 지수에서 단일 비트 반전이 ImageNet 이미지 분류 모델의 상위 1 정확도를 80%에서 0,1%로 떨어뜨릴 수 있음을 보여주었습니다. 이는 GPU를 사용하는 공유 환경에서 AI 워크로드를 실행하는 데이터 센터와 클라우드 서비스에 심각한 우려를 불러일으킵니다.

완화책과 제한사항

NVIDIA는 취약점을 확인했으며 ECC 지원을 활성화할 것을 권장했습니다. (오류 수정 코드) nvidia-smi -e 1 명령을 사용합니다. 이 측정은 오류를 수정할 수 있습니다 단일 비트, 이는 최대 10%의 성능 저하를 의미합니다. 사용 가능한 메모리가 6,25% 감소합니다. 또한 여러 비트 플립과 관련된 향후 공격으로부터 보호하지 못합니다.

GDDR6000 메모리를 탑재한 NVIDIA A6 GPU에서 로우해머 비트 변동을 확인했습니다. RTX 6과 같은 다른 GDDR3080 GPU는 테스트에서 비트 변동이 나타나지 않았는데, 이는 DRAM 공급업체, 칩 특성 또는 온도와 같은 작동 조건의 차이 때문일 수 있습니다. HBM 메모리를 탑재한 A100 GPU에서도 변동은 관찰되지 않았습니다.

팀은 다음을 강조합니다. GPUHammer는 현재 GDDR6000가 있는 A6 GPU에서만 검증되었습니다.A100(HBM)이나 RTX 3080과 같은 모델에서는 그렇지 않습니다. 그러나 이는 확장 가능한 공격이므로 다른 연구자들은 다른 GPU 아키텍처와 모델에서 분석을 복제하고 확장하는 것이 좋습니다.

마지막으로, 이에 대해 더 자세히 알아보고 싶다면 다음 페이지의 세부정보를 참조하세요. 다음 링크.