코드 생성 모델의 에너지 소모를 노린 은밀한 공격 DrainCode

초록

DrainCode은 검색 기반 코드 생성 시스템(RAG)에서 검색 코퍼스를 변조해 토큰 길이를 인위적으로 늘림으로써 GPU 지연시간과 에너지 사용량을 크게 증가시키는 새로운 적대적 공격이다.

상세 분석

본 논문은 기존의 기능‑중심 적대적 공격과는 달리 비기능적, 즉 연산 효율성을 목표로 하는 공격 벡터를 제시한다. RAG 기반 코드 생성 파이프라인은 (1) 외부 코드·문서 코퍼스에서 관련 조각을 검색하고, (2) 검색된 컨텍스트와 사용자 질의를 LLM에 전달해 코드를 완성한다는 흐름을 가진다. 이 과정에서 LLM은 EOS 토큰이 등장할 때까지 토큰을 생성하므로, 출력 길이가 늘어날수록 GPU 연산량, 메모리 사용량, 전력 소모가 비례적으로 증가한다. DrainCode은 이러한 특성을 이용해 검색 코퍼스에 “트리거” 토큰 시퀀스를 삽입한다. 트리거는 짧지만 학습 가능한 토큰 집합으로, 두 개의 손실 함수를 동시에 최적화한다. 첫 번째는 EOS 확률을 감소시켜 조기 종료를 방지하는 EOS 손실이며, 두 번째는 KL‑다이버전스 제약을 통해 원본 컨텍스트와 변조된 컨텍스트 사이의 출력 분포 차이를 최소화한다. 이로써 생성된 코드는 기능적으로 동일하지만 불필요한 보조 함수·주석·루프 등을 삽입해 토큰 수를 3배 이상 늘린다.

공격 설계에서 핵심적인 세 가지 개선점은 다음과 같다. 첫째, 가상의 질의 생성 메커니즘을 도입해 공격자가 실제 사용자 질의를 알 필요 없이 “질의‑불가지” 형태의 독립적인 중독을 가능하게 한다. 이는 기존 연구가 요구하던 질의 분포 사전 지식(P3)을 제거한다. 둘째, 다중 위치 변이와 공격 버퍼 풀을 활용해 변이 탐색 공간을 크게 축소한다. 트리거 내 토큰을 선택적으로 교체하고, 효과가 큰 토큰을 우선적으로 업데이트함으로써 기존 방법 대비 3배 이상의 속도로 최적화에 수렴한다. 셋째, KL‑다이버전스 제약을 통해 코드의 기능적 정확도(95‑99% 유지)를 보장하면서도 토큰 과다 생성 효과를 유지한다.

실험에서는 여러 최신 코드 생성 모델(예: CodeGen‑2B, StarCoder‑6B 등)과 다양한 프롬프트 전략(코드 완성, 함수 구현, 버그 수정)을 대상으로 평가하였다. 평균 출력 길이는 3‑10배 증가했으며, GPU 지연시간은 최대 85% 상승, 에너지 소비는 49% 상승했다. 또한, 기존의 에너지 효율 검사기(LLMEffChecker)와 프롬프트 인젝션 방어, 퍼플렉시티 기반 탐지기 등을 적용해도 높은 성공률을 유지하였다. 특히 블랙박스 설정에서도 전이 공격이 가능함을 보였으며, 공격이 코드 실행 결과에 미치는 영향은 미미해 실무에서 눈에 띄게 탐지되기 어렵다.

이러한 결과는 LLM‑DoS(서비스 거부) 형태의 새로운 위협을 제시한다. 코드 자동완성 IDE, CI/CD 파이프라인, 클라우드 기반 코드 생성 API 등에서 지속적인 호출이 이루어지는 환경에서는 에너지 비용이 급증하고, 클라우드 비용 및 탄소 배출량이 크게 늘어날 위험이 있다. 따라서 검색 코퍼스의 무결성 검증, 트리거 탐지, 토큰 길이 제한 정책 등 방어 메커니즘이 필요함을 시사한다.