LLM 지식·트리거 이중 지문 프레임워크 DuFFin

초록

DuFFin은 블랙박스 환경에서 LLM의 소유권을 검증하기 위해 트리거‑패턴과 도메인 지식 두 수준의 지문을 동시에 추출한다. 트리거‑지문은 특수 프롬프트에 대한 모델 응답 패턴을, 지식‑지문은 다중 도메인 객관식 질문에 대한 정답 시퀀스를 활용한다. 추출된 지문은 코사인 유사도와 해밍 거리로 비교해 원본 모델과 변형(파인‑튜닝·양자화·RLHF) 모델을 높은 정확도로 구분한다. 실험 결과 IP‑ROC 0.95 이상을 달성했으며, 코드와 데이터셋을 공개하였다.

상세 분석

DuFFin 논문은 LLM 지식재산 보호라는 실용적 문제에 접근하면서, 기존 워터마킹·지문 기법이 갖는 두 가지 한계를 명확히 짚는다. 첫째, 워터마크는 모델 파라미터를 직접 수정해야 하므로 생성 품질 저하와 배포 비용이 발생한다. 둘째, 기존 비침투 지문은 중간 레이어 출력에 의존해 백박스 접근이 불가능한 상황에서 활용이 제한된다. 이러한 배경에서 저자들은 “트리거‑패턴”과 “지식‑레벨”이라는 두 축을 도입해, 완전 블랙박스(출력 토큰 및 로짓만 접근 가능)에서도 강인한 지문을 만들고자 한다.

트리거‑DuFFin은 사전에 선정된 프롬프트 집합 X를 비밀키로 사용한다. 보호 모델과 그 파생 모델은 동일한 프롬프트에 대해 유사한 응답을 보이는 경향이 있으나, 독립적인 모델은 차별화된 답변을 만든다. 이를 활용해 T5‑인코더 기반 추출기 E를 학습한다. 학습 목표는 (i) 보호 모델과 파생 모델 사이의 코사인 유사도를 최대화하고, (ii) 보호 모델과 독립 모델 사이의 거리를 최소화하는 것이다. 여기서 온‑더‑플라이 로짓 엔트로피를 포함하거나 제외하는 두 변형을 제시해, 로짓 접근이 제한된 상황에서도 적용 가능하도록 설계했다. 손실 함수는 온도 매개변수 τ를 포함한 대조 학습 형태이며, 다수의 보호 모델 집합 O와 그 파생 모델 P, 그리고 독립 모델 집합 N을 동시에 활용해 일반화 능력을 강화한다.

지식‑DuFFin은 완전 학습‑프리 방식이다. 다양한 도메인(N)에서 각각 Q개의 객관식 질문을 추출해 비밀키 X를 만든다. 모델은 각 질문에 대해 직접 정답(A~D)만을 반환하도록 강제하고, 반환된 선택지를 순차적으로 연결해 이진 지문 벡터를 만든다. 보호 모델과 파생 모델은 동일한 지식 구조를 유지하므로 해밍 거리가 작고, 독립 모델은 도메인별 지식 차이로 인해 큰 거리를 보인다. 이 방식은 로짓이나 내부 표현에 전혀 의존하지 않으며, 질문 설계 단계에서 난이도 필터링을 통해 과도한 오답을 방지한다.

두 지문을 결합한 최종 검증은 코사인 유사도와 해밍 거리를 가중 평균하거나 논리적 AND/OR 연산으로 수행한다. 실험에서는 LLaMA‑2, Falcon, Mistral 등 네 가지 베이스 모델과 그 파생 모델(파인‑튜닝, 4‑비트 양자화, RLHF 정렬)을 30여 개 이상 대상으로 평가했다. IP‑ROC(Receiver Operating Characteristic) 지표가 0.95~0.99 범위에 머물렀으며, 특히 파인‑튜닝 정도가 높은 경우에도 트리거‑지문이 견고함을 보였다. 또한, 질문 수를 10개 이하로 줄여도 지식‑지문의 구분 성능이 크게 감소하지 않아 효율성도 입증했다. 코드와 데이터셋을 공개함으로써 재현성을 확보하고, 실제 산업 현장에서의 적용 가능성을 높였다.

하지만 몇 가지 한계도 존재한다. 첫째, 트리거‑지문의 성능은 프롬프트 집합 X의 설계에 크게 의존한다. 악의적인 공격자가 동일한 프롬프트를 사전에 파악하거나, 모델을 고의적으로 해당 프롬프트에 대해 무작위 응답하도록 재학습한다면 검증이 무력화될 위험이 있다. 둘째, 지식‑지문은 다중 선택형 질문에 한정돼 있어, 모델이 답변을 회피하거나 “I don’t know”와 같은 비정형 출력을 할 경우 지문 추출이 어려워진다. 셋째, 현재 실험은 공개된 오픈소스 모델에 국한돼 있어, 대규모 상업용 모델(예: GPT‑4)에서의 적용 가능성은 추가 검증이 필요하다. 향후 연구에서는 프롬프트와 질문을 동적으로 생성하거나, 메타‑학습을 통해 새로운 변형 모델에 대한 적응성을 높이는 방안을 모색할 수 있다.

전체적으로 DuFFin은 블랙박스 LLM IP 보호에 실용적인 솔루션을 제시하며, 두 레벨의 상보적 지문을 통해 다양한 변형 공격에 강인함을 보인다. 특히 비침투 방식과 공개 코드는 학계·산업 모두에서 큰 관심을 받을 것으로 기대된다.