대규모 언어 모델의 트로이 탐지: 트로이 탐지 대회에서 얻은 통찰

대규모 언어 모델의 트로이 공격에 대한 취약성을 해결하기 위해서는 트로이 탐지 기술의 발전이 필요하다.

이 논문은 대규모 언어 모델(LLM)의 트로이 공격 탐지 문제를 다룬다. 트로이 공격은 LLM에 숨겨진 트리거를 삽입하여 의도하지 않은 출력을 생성하는 공격 기법이다. 논문은 2023년 NeurIPS 트로이 탐지 대회(TDC2023)의 통찰을 분석한다. 주요 내용은 다음과 같다: 의도된 트리거와 의도되지 않은 트리거를 구분하는 것이 어려운 문제임을 확인했다. 의도되지 않은 트리거는 모델의 취약성을 드러내며, 이를 구분하기 어려워 모델의 안전성과 해석 가능성에 대한 문제를 제기한다. 트로이 트리거를 역공학하는 것이 매우 어려운 것으로 나타났다. 대회 최상위 참가팀들도 트리거 복원 성능(Recall)이 약 0.16 수준에 그쳤다. 이는 단순 무작위 샘플링 수준에 불과하여, 실제 상황에서 트로이 탐지가 어려울 수 있음을 시사한다. 트로이 삽입 방식에 따라 트로이 탐지 난이도가 달라질 수 있음을 확인했다. 일부 모델에서는 의도된 트리거가 지역 최적점이 되도록 삽입되어 탐지가 어려웠다. 트로이 탐지 방법론 개선을 위해 트리거 최적화 기법, 모델 활성화 분석, 그리고 빠른 탐지 알고리즘 개발 등의 연구 방향을 제시했다. 이 연구는 LLM의 안전성 확보를 위해 트로이 탐지 기술 발전의 필요성을 강조하며, 향후 연구 방향을 제시한다.

대회 최상위 참가팀의 트리거 복원 성능(Recall)은 약 0.16 수준이었다. 트리거 강제 성공률(REASR)은 대부분의 팀에서 90% 이상을 달성했다.

"트로이 삽입 방식에 따라 탐지 난이도가 달라질 수 있음을 확인했다." "의도된 트리거와 의도되지 않은 트리거를 구분하는 것이 어려운 문제임을 확인했다." "실제 상황에서 트로이 탐지가 어려울 수 있음을 시사한다."