TEE‑기반 LLM 보호의 함정: 사전 계산된 노이즈 재사용이 초래한 비밀키 재사용 취약점

초록

본 논문은 부분 TEE‑Shielded LLM 추론에서 성능을 위해 사전 계산된 고정 노이즈 기반을 사용하는 설계가 비밀키 재사용이라는 근본적인 암호학적 결함을 초래한다는 점을 밝힌다. 저자들은 이 결함을 이용해 모델 기밀성(비밀 퍼뮤테이션 및 가중치 복원)과 무결성(숨겨진 지문 검증 우회) 두 가지 공격을 제시하고, LLaMA‑3 8B 모델의 한 레이어를 6분 만에 탈취하는 등 실험적으로 입증한다.

상세 분석

논문은 최근 대규모 언어 모델(LLM)을 외부 디바이스에 배포할 때 지적 재산권 보호를 위해 TEE와 GPU 같은 비신뢰 하드웨어를 결합한 Partial TEE‑Shielded Execution(PTSE) 방식을 채택하는 추세를 지적한다. PTSE 시스템은 일반적으로 “Mask‑Obfuscate‑Restore” 3단계 프로토콜을 사용한다. 여기서 ‘Mask’ 단계에서 TEE는 입력에 비밀 노이즈(일회용 패드, 퍼뮤테이션, 블라인딩 코인 등)를 적용하고, ‘Obfuscate’ 단계에서 GPU가 고비용 연산을 수행한다. 마지막 ‘Restore’ 단계에서는 TEE가 노이즈 효과를 제거하거나, 미리 저장된 정답(지문)과 비교해 무결성을 검증한다.

성능 제약으로 인해 실제 구현은 매번 새로운 완전 무작위 노이즈를 생성하지 않고, 사전에 K개의 고정 노이즈 벡터와 그 효과(예: M·W)를 미리 계산해 저장한다. 온라인에서는 이 K개의 베이스를 임의 계수로 선형 결합해 “가짜” 노이즈를 만든다. 저자들은 이 설계가 전통적인 암호학에서 금지된 키 재사용(key‑reuse)과 동일한 구조적 결함을 내포한다는 점을 증명한다. 구체적으로, 모든 노이즈는 K‑차원 선형 부분공간에 제한되므로, 공격자는 다중 추론 세션에서 얻은 암호화된 결과들을 선형 방정식 형태로 수집해 해당 부분공간을 역추정할 수 있다.

첫 번째 공격은 모델 기밀성에 초점을 맞춘다. 퍼뮤테이션 기반 잠금(예: TLG, ShadowNet)에서는 비밀 퍼뮤테이션 행렬이 노이즈와 결합된 형태로 GPU에 전달된다. 공격자는 여러 입력‑출력 쌍을 수집해 노이즈 베이스와 퍼뮤테이션의 곱을 행렬 방정식으로 표현하고, 선형대수적 방법(가우스 소거, SVD 등)으로 퍼뮤테이션을 복원한다. 퍼뮤테이션이 밝혀지면, 원본 가중치 행렬을 역변환해 모델 파라미터를 완전 복원할 수 있다. 실험에서는 LLaMA‑3 8B 모델의 한 레이어를 6분 내에 탈취했으며, K=10 정도의 베이스만으로도 405B 파라미터 규모의 모델을 공격할 수 있음을 보였다.

두 번째 공격은 무결성 검증 메커니즘(Soter, TSQP)의 지문 삽입 방식을 겨냥한다. 이 시스템들은 정적 코너스톤(미리 계산된 입력‑출력 쌍) 집합을 기반으로 동적 지문 m′=∑αi mi 를 생성한다. 공격자는 동일한 K‑차원 부분공간에 속하는 지문과 실제 입력을 구분하기 위해, 다수의 추론 결과를 수집해 지문에만 영향을 주는 선형 조합을 추출한다. 부분공간 교차 연산을 통해 지문의 계수를 추정하면, TEE가 기대하는 지문 출력 F(m′)를 미리 계산해 검증을 회피한다. 결과적으로, 공격자는 무결성 검증을 완전히 우회하고, 변조된 연산을 숨길 수 있다.

핵심 통찰은 “정적 비밀 베이스 + 선형 결합”이라는 설계가 암호학적 키 재사용과 동일한 위험을 내포한다는 점이다. 이는 TEE 내부에서 수행되는 복잡한 연산을 회피하려는 성능‑우선 선택이 보안에 치명적인 비용을 초래함을 보여준다. 논문은 이러한 구조적 결함을 근본적으로 해결하려면, 매 추론마다 진정한 일회용 노이즈를 생성하거나, 베이스 크기를 동적으로 확장해 공격자가 선형 방정식 시스템을 충분히 과다하게 만들 필요가 있음을 제안한다.