LLM에 대한 사이드채널 공격
Source: Schneier on Security
Remote Timing Attacks on Efficient Language Model Inference
Abstract: 언어 모델을 확장하면 그 능력이 크게 향상됩니다. 하지만 모델이 커질수록 속도가 느려지며, 이에 따라 언어 모델 생성의 (평균적인) 효율성을 높이는 방대한 연구가 진행되고 있습니다(예: speculative sampling 또는 parallel decoding). 이러한 기법들은 데이터에 의존적인 타이밍 특성을 도입합니다. 우리는 이러한 타이밍 차이를 이용해 타이밍 공격을 수행할 수 있음을 보여줍니다. 피해자 사용자와 원격 언어 모델 사이의 (암호화된) 네트워크 트래픽을 모니터링함으로써, 응답이 더 빠르거나 느릴 때를 기록하여 메시지 내용에 대한 정보를 추론할 수 있습니다. 완전한 블랙박스 접근을 통해, 오픈소스 시스템에서는 사용자의 대화 주제(예: 의료 상담 vs. 코딩 지원)를 90 % 이상의 정확도로 파악할 수 있음을 입증했으며, OpenAI의 ChatGPT와 Anthropic의 Claude와 같은 상용 시스템에서는 특정 메시지를 구분하거나 사용자의 언어를 추론할 수 있었습니다. 또한, 능동적인 공격자는 부스팅 공격을 활용하여 오픈소스 시스템에서 메시지에 포함된 개인 식별 정보(예: 전화번호 또는 신용카드 번호)를 복구할 수 있음을 보여줍니다. 마지막으로 잠재적인 방어책과 향후 연구 방향을 제시합니다.
When Speculation Spills Secrets: Side Channels via Speculative Decoding in LLMs
Abstract: 배포된 대형 언어 모델(LLM)은 종종 추측 디코딩(speculative decoding)이라는 기법을 사용하여 여러 후보 토큰을 병렬로 생성하고 검증함으로써 처리량과 지연 시간을 개선한다. 본 연구에서는 올바른 추측과 잘못된 추측의 입력‑종속 패턴을 반복당 토큰 수 또는 패킷 크기를 모니터링함으로써 추론할 수 있는 새로운 사이드 채널을 밝혀낸다. 연구용 프로토타입과 프로덕션‑급 vLLM 서빙 프레임워크를 이용한 평가에서, 이러한 패턴을 감시하는 공격자는 네 가지 추측‑디코딩 스키마(temperature 0.3)에서 50개의 프롬프트 집합에 대해 75 % 이상의 정확도로 사용자 질의를 지문화할 수 있음을 보였다: REST (100 %), LADE (91.6 %), BiLD (95.2 %), EAGLE (77.6 %). temperature 1.0에서도 정확도는 2 % 무작위 기준을 크게 웃으며 유지된다—REST (99.6 %), LADE (61.2 %), BiLD (63.6 %), EAGLE (24 %). 또한 공격자가 예측에 사용되는 기밀 데이터스토어 내용을 초당 25 토큰 이상 속도로 유출할 수 있음을 보여준다. 이러한 위협에 대응하기 위해 패킷 패딩 및 반복‑단위 토큰 집계와 같은 일련의 완화 방안을 제안하고 평가한다.
Whisper Leak: 대형 언어 모델에 대한 사이드‑채널 공격
Abstract: 대형 언어 모델(LLM)은 의료, 법률 서비스, 기밀 통신 등 프라이버시가 가장 중요한 민감한 분야에 점점 더 많이 배치되고 있다. 본 논문에서는 암호화된 LLM 트래픽에서 패킷 크기와 타이밍 패턴을 분석하여 사용자 프롬프트 주제를 추론하는 사이드‑채널 공격인 Whisper Leak을 소개한다. TLS 암호화가 내용은 보호하지만, 이러한 메타데이터 패턴은 주제 분류를 가능하게 할 만큼 충분한 정보를 누출한다. 우리는 주요 제공업체의 28개 인기 LLM에 대해 공격을 수행했으며, 거의 완벽한 분류(종종 > 98 % AUPRC)와 극단적인 클래스 불균형(10,000 : 1 잡음‑대‑대상 비율)에서도 높은 정밀도를 달성했다. 많은 모델에서 “돈세탁”과 같은 민감한 주제를 100 % 정밀도로 식별하면서 목표 대화의 5‑20 %를 복구했다. 이 산업 전반에 걸친 취약점은 ISP, 정부, 혹은 지역 적대자에 의해 네트워크 감시를 받는 사용자에게 중대한 위험을 초래한다. 우리는 무작위 패딩, 토큰 배칭, 패킷 주입이라는 세 가지 완화 전략을 평가했으며, 각각이 공격 효율성을 감소시키긴 하지만 완전한 보호를 제공하지는 못한다는 것을 발견했다. 책임 있는 공개를 통해 우리는 제공업체와 협력하여 초기 대응 조치를 구현하였다. 우리의 연구 결과는 AI 시스템이 점점 더 민감한 정보를 다루게 됨에 따라 LLM 제공업체가 메타데이터 누출 문제를 해결해야 할 필요성을 강조한다.