🚨AI 보안의 헛점을 파고든다: LLM에서 토큰 유출 공격, Spill The Beans 🕵️‍♂️

본 기사는 Andrew Adiletta와 Berk Sunar 연구팀의 논문 "Spill The Beans"을 바탕으로, CPU 캐시 사이드 채널 공격을 이용한 LLM 토큰 유출 공격에 대한 내용을 소개합니다. 연구 결과는 LLM의 보안 취약성과 새로운 보안 위협을 제시하며, 향후 AI 보안 기술 개발에 중요한 시사점을 제공합니다.

최근 Andrew Adiletta와 Berk Sunar 연구팀이 발표한 논문 "Spill The Beans: Exploiting CPU Cache Side-Channels to Leak Tokens from Large Language Models"은 인공지능(AI) 보안 분야에 큰 파장을 일으키고 있습니다. 이 연구는 대규모 언어 모델(LLM) 의 취약성을 밝히고, CPU 캐시 사이드 채널 공격을 통해 LLM에서 토큰을 유출하는 새로운 공격 기법을 선보였습니다.

공격 원리: 캐시 메모리의 숨겨진 비밀

Spill The Beans 공격은 공격자가 피해자 모델과 같은 하드웨어에서 공격 프로세스를 실행하여 작동합니다. 공격자는 임베딩 계층에서 임베딩 벡터를 플러시 및 재로드하여 각 토큰에 해당하는 고유한 임베딩 벡터를 찾아냅니다. 토큰 생성 중에 해당 벡터에 접근하면 공유 하위 레벨 캐시에서 감지 가능한 캐시 적중이 발생합니다.

하지만 LLM은 엄청난 크기와 연산 집약적인 특성으로 인해 임베딩 벡터가 캐시에서 빠르게 제거되는 어려움이 있습니다. 연구팀은 모니터링하는 토큰 수와 유출되는 정보량 사이의 균형을 맞춤으로써 이 문제를 해결했습니다. 토큰 모니터링 수를 늘리면 어휘 유출 가능성은 증가하지만, 캐시 제거로 인해 캐시 적중을 놓칠 가능성도 높아집니다. 반대로 토큰 모니터링 수를 줄이면 탐지 신뢰도는 향상되지만 어휘 범위는 제한됩니다.

실험 결과: 놀라운 유출 성공률

연구팀은 광범위한 실험을 통해 LLM에서 캐시 사이드 채널을 통해 토큰을 유출하는 것이 가능함을 입증했습니다. 실험 결과, 높은 엔트로피 API 키의 경우 단일 샷 모니터링으로 80%-90%의 복구율, 영어 텍스트의 경우 40%의 복구율을 달성했습니다. 하지만 이는 모니터링되는 토큰 집합에 크게 의존하며, 특정 도메인에 초점을 맞춤으로써 복구율을 더욱 높일 수 있다는 점을 강조합니다.

결론: 새로운 보안 패러다임의 필요성

Spill The Beans 공격은 LLM 배포 환경의 새로운 취약성을 드러냈습니다. 이는 LLM이 기존의 사이드 채널 공격에도 취약하다는 것을 보여주는 중요한 사례입니다. 본 연구는 LLM 서비스 인프라의 개인 정보 보호 및 보안에 대한 시사점을 제시하며, 이러한 위협을 완화하기 위한 보안 대책 마련의 필요성을 강조합니다. AI 시스템의 안전한 배포를 위해서는 기존의 보안 패러다임을 넘어서는 새로운 접근 방식이 필요함을 시사하는 연구 결과라 할 수 있습니다.