LLM 메모리화의 전체 지도: 원인·측정·완화 전략

초록

**
본 논문은 대규모 언어 모델(LLM)에서 발생하는 데이터 메모리화 현상을 체계적으로 정리한다. 메모리화의 정의를 정확·근사·사실 기반 등으로 구분하고, 모델 규모, 데이터 중복, 시퀀스 길이, 토크나이징, 샘플링 방식 등 다양한 요인이 메모리화에 미치는 영향을 분석한다. 또한 프리픽스 기반 추출, 멤버십 인퍼런스, 적대적 프롬프트 등 탐지 기법을 비교하고, 데이터 정제, 차등 프라이버시, 사후 언러닝 등 완화 방안을 제시한다. 마지막으로 법·윤리적 위험과 향후 연구 과제를 제언한다.

**

상세 분석

**
이 논문은 LLM 메모리화를 “의도치 않은 민감 데이터의 그대로 재생”으로 정의하고, 이를 정확 메모리화(Exact Memorization), 근사 메모리화(Approximate Memorization), 사실 기반 메모리화(Fact‑based Memorization) 등 네 가지 축으로 세분화한다. 특히 ‘Eidetic Memorization’(고충실도 재현)과 ‘Extractable Memorization’(프롬프트에 의해 재생 가능한 경우) 등 탐지 가능성을 기준으로 한 정의를 제시해, 기존 문자열 매칭 중심의 평가와 차별화한다.

요인 분석에서는 모델 파라미터 수가 로그‑선형적으로 메모리화 양을 증가시킨다는 Carlini et al.의 결과를 재확인하고, 데이터 중복이 메모리화 위험을 급격히 높이며, 단순 해시 기반 중복 제거만으로는 근접 복제(near‑duplicate)까지 차단하기 어렵다고 지적한다. 시퀀스 길이와 토크나이징도 중요한 변수로, 긴 시퀀스와 큰 BPE vocabularies는 메모리화 확률을 크게 높인다.

디코딩 전략에 대한 실험에서는 그리디 디코딩보다 Top‑k, nucleus sampling, temperature 등 확률적 샘플링이 메모리화된 텍스트를 더 많이 노출한다는 점을 강조한다. 이는 메모리화 탐지·평가 시 다양한 샘플링 파라미터를 함께 고려해야 함을 의미한다.

탐지 기법은 크게 프리픽스 기반 추출, 멤버십 인퍼런스, 소프트 프롬프트(soft prompting) 로 구분한다. 프리픽스 기반 방법은 k‑extractable 정의와 연결돼, 프롬프트 길이와 추출 성공률 사이의 정량적 관계를 제공한다. 멤버십 인퍼런스는 모델 출력 확률 차이를 이용해 특정 샘플이 학습에 포함됐는지를 추정하지만, 높은 위양성률을 보인다. 소프트 프롬프트는 연속적인 임베딩 조작으로 메모리화된 정보를 효율적으로 끌어낼 수 있어, τ‑Compressible Memorization이라는 정보‑이론적 효율성을 정량화하는 새로운 지표를 제안한다.

완화 전략으로는 데이터 정제(데듀플리케이션, 민감 데이터 필터링), 차등 프라이버시(DP‑SGD), 사후 언러닝(Unlearning) 를 논의한다. 차등 프라이버시는 ε‑값을 조절해 메모리화 위험을 크게 낮출 수 있으나, 모델 성능 저하가 불가피하고, 실제 대규모 LLM에 적용하기 위한 계산 비용이 아직 큰 과제로 남아 있다. 사후 언러닝은 특정 샘플을 제거하거나 영향을 감소시키는 방법으로, 인플루언스 함수 기반 접근법이 가장 유망하지만, 완전한 복구가 어려워 지속적인 연구가 필요하다.

법·윤리적 논의에서는 PII 노출, 저작권 침해, 데이터 주권 등을 다루며, 메모리화가 “데이터 주체의 동의 없이 재생산”될 경우 법적 책임이 발생할 수 있음을 강조한다. 따라서 기술적 완화와 함께 감사 체계, 투명성 보고, 규제 가이드라인이 병행되어야 한다는 결론을 내린다.

전체적으로 이 논문은 메모리화 현상을 정의·측정·완화하는 전 과정을 포괄적으로 정리하고, 각 단계에서 현재 가장 신뢰할 수 있는 방법론과 남아 있는 연구 공백을 명확히 제시한다.

**