새로운 해킹 수법, “LLM ‘문답’ 분석으로 공격”

[애플경제 이윤순 기자] 사이버공격 수법이 발달한 나머지 이젠 전력 소모량이나, 전자기파, 타이밍과 같은 간접적인 신호를 모니터링해 암호화 키나 각종 기밀 정보를 훔쳐내는 경지에 도달했다. 흔히 하드웨어를 표적으로 삼는 범죄와는 달리, 이는 LLM의 이같은 틈새 취약점을 노린 것이다.

최근 마이크로소프트(MS)는 이를 소위 ‘LLM 사이드채널 공격’으로 이름붙이며, “불순한 의도를 지닌 사용자들이 이런 수법을 통해 LLM을 통해 오가는 정보를 추측하거나 추출해내곤 한다”고 밝혔다. MS 연구원들은 특히 LLM 사이드 채널 공격 수법을 자체적으로 개발, 블로그와 ‘더 레지스터’ 등에 이를 공개하며, 경각심을 높였다.

그러면서 “앤스로픽, AWS, 딥시크, 구글 등 일부 대형 AI 모델은 제대로 수정되지 않은채 배포, (LLM 사이드 채널 공격에 의해) 개인 사용자나 기업 등을 위험에 빠뜨리고 있다”고 경고했다.

MS, 공격 기법 ‘위스포 리크’ 시범 개발

MS 연구원들은 특히 스트리밍 모델의 취약성을 노린 ‘위스퍼 리크’(Whisper Leak)라는 공격 기법을 성공적으로 개발했다. 이 기법은 공격자들이 스트리밍 응답의 패킷의 크기와 타이밍 패턴을 분석, 암호화된 LLM 쿼리에서 프롬프트의 주제를 추론하는 방식이다.

흔히 스트리밍 모델은 전체 응답을 한꺼번에 전송하는 대신, 작은 ‘청크’(조각)나 토큰 단위로 쪼개어 조금씩 응답을 전송한다. 이에 공격자로선 네트워크 트래픽을 가로챌 수 있고, LLM 토큰을 가로채기도 쉽다. 즉 ‘중간자 공격’(ATI)에 취약한 것이다.

즉, 암호화된 트래픽을 관찰할 수 있는 위치에 있는 사이버 공격자가 사용자 프롬프트가 어떤 주제에 관한 것인지 유추할 수 있게 된다. 여기서 사이버 공격자는 인터넷 서비스 제공업체나, 관료나 권력층, 로컬 네트워크 사용자, 또는 동일한 와이파이 라우터에 연결된 사용자 등이다. 그러면 각종 시위나, 금지된 자료, 선거 과정, 언론과 같은 주제를 표적으로 삼는 억압적인 정부나 정치권력에 의해 사용자들에게 실질적인 위험을 초래할 수 있다.

억압적인 정치권력, 악용할 가능성 커

MS는 실제로 이런 우려를 해당 모델 공급업체들에게 전달한 것으로 알려졌다. 이에 “미스트랄, 마이크로소프트, 오픈AI, xAI 등 일부 공급업체가 이러한 유형의 사이드 채널 공격으로부터 모델을 보호하기 위한 완화 조치를 시행했다”고 밝혔다.

MS는 또한 알리바바 Qwen, 앤스로픽 클로드, 아마존 노바(Nova), 딥시크, 람다 랩(Lambda Labs), 구글 제미니 등에 대해서도 테스트했다. 공개된 ‘위스퍼 리크’ 자료에 의하면 그 중 일부업체는 다양한 이유를 들어 수정 조치를 시행하지 않은 것으로 전해졌다.

한편 이런 사이드 채널 공격을 방지하는 몇 가지 방법도 눈길을 끈다. MS와 오픈AI가 클라우드플레어에서 도입한 사이드 채널 공격 방지 기법이 대표적이다. 응답 필드에 무작위 텍스트 시퀀스를 추가, 토큰 크기를 변경함으로써 (공격자들이) 사전에 예측할 수 없게 만드는 방법이다. 이를 통해 정보의 ‘크기’에 기반한 공격으로부터 방어할 수 있게 된다.

특히 MS는 블로그에서 “MS 애저(Azure)의 완화(방지) 기능이 사이드 채널 공격의 위험을 크게 낮춰주고 있음을 직접 확인했다.”고 밝혔다. 또 다른 완화 방법으론 전송 전에 여러 토큰을 그룹화하는 것도 있다. 이렇게 하면 관찰 가능한 네트워크 이벤트 수가 줄어들고, 개별 토큰의 특성이 모호해진다. 또는 무작위 간격으로 합성 패킷을 주입, 공격자가 겨냥하는 크기와 타이밍 패턴을 모두 모호하게 만들 수도 있다.