확산 언어 모델의 회원 추론 공격: 새로운 취약점과 SAMA 방어

초록

본 논문은 확산 언어 모델(DLM)의 미세조정 단계에서 발생하는 회원 추론 공격(MIA) 취약성을 최초로 체계적으로 조사한다. 마스크 구성의 조합이 기하급수적으로 늘어나는 특성을 활용해, 다중 마스크 샘플링과 부호 기반 통계로 희소한 멤버십 신호를 집계하는 SAMA(Subset‑Aggregated Membership Attack) 방법을 제안한다. 9개 데이터셋에 걸친 실험에서 기존 최선 공격 대비 AUC가 평균 30% 향상되고, 낮은 위양성률 구간에서는 최대 8배까지 개선됨을 보이며, DLM이 기존 자동회귀 모델보다 프라이버시 위험이 더 크다는 사실을 입증한다.

상세 분석

본 연구는 확산 언어 모델(DLM)이 마스크된 토큰을 양방향으로 복원하는 구조적 특성 때문에, 기존 자동회귀 모델(ARM)과는 전혀 다른 회원 추론 시나리오를 제공한다는 점을 핵심적으로 파악한다. ARM에서는 입력 시퀀스가 고정된 왼쪽‑오른쪽 컨텍스트만을 제공하므로, 공격자는 단일 손실 차이(Δ_AR)만을 관찰할 수 있다. 반면 DLM은 마스크 집합 S에 따라 손실 차이 Δ_DF(x;S)가 달라지며, S를 자유롭게 선택함으로써 무수히 많은 독립적인 probing 기회를 얻는다. 그러나 이러한 기회는 신호가 매우 희소하고 마스크 구성에 따라 크게 변동한다는 문제를 동반한다. 논문은 실험적으로 마스크 구성에 따른 신호 분포를 시각화해, 멤버와 비멤버 사이의 평균 차이(δ≈0.06)보다 마스크 변동에 의한 표준편차(σ≈0.10)가 더 크다는 것을 보여준다. 따라서 단일 마스크 기반 평균 손실 추정(Δ_avg)은 신호‑노이즈 비율이 낮아 효과가 제한적이다.

SAMA는 이 난점을 해결하기 위해 세 가지 설계를 결합한다. 첫째, Subset‑Aggregated 단계에서는 각 마스크 밀도에서 여러 토큰 서브셋을 샘플링하고, 각 서브셋에 대해 손실 차이의 부호(sign)를 취해 0/1 투표 형태로 집계한다. 부호 기반 통계는 이상치에 강건하며, 희소한 양의 신호가 다수의 부정적 노이즈에 의해 희석되는 것을 방지한다. 둘째, Progressive Masking 전략으로 마스크 밀도를 단계적으로 증가시켜, 희소 마스크(강한 개별 신호, 적은 샘플)와 밀집 마스크(약한 개별 신호, 많은 샘플) 양쪽에서 정보를 수집한다. 셋째, Inverse‑Weighted Aggregation을 도입해, 희소 마스크에서 얻은 부호 투표에 더 큰 가중치를 부여한다. 이는 “희소하지만 깨끗한” 신호가 전체 점수에 충분히 반영되도록 설계된 것이다.

실험은 LLaDA‑8B‑Base 및 Dream‑v0‑Base‑7B 두 최신 DLM을 대상으로, MIMIR, WikiText‑103, AG News, XSum 등 9개의 데이터셋에서 멤버와 비멤버를 균등히 추출해 수행되었다. 비교 대상은 기존 MIA 기법(예: Loss‑Based, Confidence‑Based, Reference‑Based)과 최신 ARM‑전용 공격이다. 결과는 AUC 기준 평균 30% 상승, 특히 FPR=0.1% 구간에서 최대 8배 향상을 보이며, 마스크 밀도별 부호 투표가 가장 큰 기여를 함을 확인한다. 또한, reference 모델을 사전 학습된 베이스 모델로 설정했을 때 가장 높은 성능을 보였으며, 베이스 모델이 없을 경우에도 대체 reference(동일 아키텍처의 다른 파인튜닝 버전)으로 일정 수준의 공격 효율을 유지한다.

한계점으로는 (1) 회색‑박스 접근을 전제로 하여, 내부 파라미터나 그래디언트에 접근하지 못하는 상황에서는 성능이 감소할 수 있다. (2) 마스크 구성 샘플링 비용이 높아 실시간 서비스에 바로 적용하기엔 연산량이 부담될 수 있다. (3) 방어 측면에서 현재 제안된 방어 메커니즘은 없으며, 차후 연구에서 differential privacy나 모델 스무딩 기법과의 결합이 필요하다.

전반적으로 본 논문은 DLM이 기존 ARM 대비 프라이버시 위험이 더 크다는 새로운 인식을 제공하고, 마스크 기반 다중 probing과 부호 집계라는 혁신적 방법론을 통해 MIA 성능을 크게 끌어올렸다. 이는 향후 DLM 설계와 배포 시 프라이버시‑보호 메커니즘을 반드시 고려해야 함을 강력히 시사한다.