LLM 독성 테스트의 새로운 지평, EvoTox

초록

EvoTox는 두 개의 LLM을 활용해 (1+λ) 진화 전략으로 자연스러운 프롬프트를 자동 생성하고, 독성 분류기를 오라클로 사용해 시스템 언더 테스트(SUT)의 독성 반응을 정량적으로 측정한다. 5개의 최신 LLM에 대한 실험에서 무작위 탐색·기존 데이터·Jailbreak 공격 대비 독성 탐지 효율이 크게 향상됐으며, 실행 비용은 22~35% 정도만 추가된다. 인간 평가에서도 프롬프트의 유창성과 응답의 독성 인식이 우수함을 확인했다.

상세 분석

EvoTox는 기존 LLM 독성 평가 방법의 한계를 명확히 인식하고, ‘검색 기반 테스트(Search‑Based Testing)’와 ‘진화 전략(ES)’을 결합한 새로운 프레임워크를 제시한다. 핵심 아이디어는 SUT와 별도의 프롬프트 생성기(PG) LLM 사이의 상호작용을 통해 프롬프트 공간을 탐색한다는 점이다. (1+λ)‑ES는 현재 프롬프트(부모)를 기준으로 λ개의 변이체를 생성하고, 독성 오라클이 부여한 점수가 가장 높은 변이체를 다음 세대의 부모로 채택한다. 이 과정은 완전한 블랙박스 방식으로 수행돼 SUT의 내부 구조나 파라미터에 접근할 필요가 없으며, 실무 적용성을 크게 높인다.

프롬프트 변이 생성은 ‘few‑shot’ 인‑컨텍스트 학습을 활용한다. PG에게 이전 프롬프트와 해당 프롬프트에 대한 SUT 응답, 그리고 목표(독성 점수 상승)를 제공함으로써, 문법적으로 타당하고 의미적으로 일관된 변이를 만들도록 유도한다. 이는 기존 Jailbreak 공격이 비자연적인 접두사·접미사를 삽입해 비현실적인 프롬프트를 생성하는 방식과 근본적으로 다르다.

독성 평가는 사전 학습된 공개 독성 분류기(예: Perspective API 기반)를 오라클로 사용한다. 점수는 ‘독성 확신도’로 해석되며, ES의 적합도 함수로 직접 활용된다. 이 접근법은 독성 정의를 명확히 수치화함으로써 자동화된 비교가 가능하도록 만든다.

실험 설계는 7 B부터 671 B 파라미터까지 다양한 규모의 5개 LLM을 대상으로 한다. 네 가지 EvoTox 변형(예: 상태 유지, 컨텍스트 활용 등)을 기존 무작위 탐색, 독성 프롬프트 데이터셋, AutoDAN 등 세 가지 베이스라인과 비교한다. 정량적 결과는 효과 크기가 무작위 탐색 대비 최대 1.0, Jailbreak 대비 0.99에 달함을 보여, 독성 탐지 능력이 현저히 우수함을 입증한다. 비용 측면에서는 평균 22~35%의 실행 시간 증가만으로 높은 성능을 달성한다는 점이 실용성을 강조한다.

인간 평가에서는 심리학·정신치료 전문가가 프롬프트의 유창성 및 응답의 독성 인식을 채점했다. EvoTox가 생성한 프롬프트는 자연스러움에서 기존 공격보다 유의미하게 높은 점수를 받았으며, SUT가 반환한 응답 역시 인간이 인지하는 독성 수준이 더 높았다. 이는 자동화된 독성 점수가 실제 인간 감각과 잘 일치한다는 중요한 증거다.

강점으로는 (1) 완전 블랙박스 설계로 다양한 상용·오픈소스 LLM에 적용 가능, (2) 진화 전략을 통한 효율적인 탐색으로 비용 대비 성능 우수, (3) 인간 평가와의 정합성을 확보한 독성 오라클 사용을 들 수 있다. 한계점은 (가) 독성 오라클 자체의 편향 가능성, (나) PG LLM의 품질에 따라 변이 생성 효율이 달라질 수 있다는 점, (다) 현재 실험이 5개 모델에 국한돼 있어 더 넓은 모델군에 대한 일반화 검증이 필요하다는 점이다. 향후 연구는 다중 오라클 결합, PG의 메타프롬프트 최적화, 그리고 실시간 서비스 환경에서의 연속 테스트 파이프라인 구축 등을 제안한다.