LLM을 위한 정밀 비트플립 공격 TFL

초록

TFL은 대형 언어 모델의 특정 프롬프트에만 원하는 키워드를 삽입하도록 설계된 비트플립 공격 프레임워크이다. 키워드‑중심 손실과 보조 유틸리티 점수를 결합해 목표 출력은 강화하고, 비목표 입력에 대한 성능 저하를 최소화한다. 실험 결과, 50비트 이하의 플립으로 Qwen, DeepSeek, Llama 모델에서 목표 토큰을 성공적으로 삽입했으며, 기존 무차별형 BFAs에 비해 비목표 쿼리의 정확도 손실이 크게 감소한다.

상세 분석

본 논문은 기존 비트플립 공격이 주로 모델 전체의 성능을 저하시키거나 전역적인 제이브레이크(jailbreak) 형태로 작동하는 데 반해, 특정 입력에 한정된 정밀 조작을 목표로 하는 첫 번째 시도라는 점에서 의의가 크다. 핵심 기법은 두 가지 손실 함수를 동시에 최적화하는데, 첫 번째는 “키워드‑중심 공격 손실”(keyword‑focused attack loss)로, 목표 프롬프트에 대해 모델이 지정된 토큰(예: 악의적 키워드)을 높은 확률로 생성하도록 유도한다. 이 손실은 목표 토큰의 로그 확률을 직접 최대화함으로써, 일반적인 언어 모델 손실과는 달리 특정 토큰을 강제로 끌어올리는 특성을 가진다.

두 번째는 “보조 유틸리티 점수”(Aux Utility Score)이다. 이는 비목표 데이터셋(예: DROP, GSM8K, TriviaQA)의 출력 품질을 측정해, 비트플립이 모델 전반에 미치는 부작용을 정량화한다. 최적화 과정에서 이 점수에 패널티를 부여함으로써, 목표 손실 감소와 비목표 성능 저하 사이의 트레이드오프를 명시적으로 관리한다. 결과적으로 공격자는 최소한의 비트플립(≤50개)으로 목표 프롬프트만을 변조하고, 다른 질의에 대해서는 거의 원래 성능을 유지한다.

비트 선택 단계는 기존 Gradient‑Based Bit‑Flip Search와 유사하게, 각 가중치 비트에 대해 손실 변화량을 미분해 “손실 기울기”를 계산한다. 그러나 TFL은 여기서 추가적인 필터링을 수행한다. 먼저, 손실 기울기가 큰 비트를 후보군으로 선정하고, 각 후보에 대해 보조 유틸리티 점수 감소량을 평가한다. 최종 선택은 “목표 손실 감소 / 보조 유틸리티 감소” 비율이 가장 높은 비트를 순차적으로 플립하는 방식이다. 이 과정은 비트 플립 예산이 소진될 때까지 반복된다.

하드웨어 측면에서는 Rowhammer 기반 DRAM 취약점을 전제로 하며, FP32, BF16, INT8 등 다양한 정밀도 포맷에 대한 실험을 수행한다. 논문은 BF16과 INT8이 비트플립에 대한 민감도가 다르다는 점을 강조한다. BF16에서는 부호·지수·맨티사 각각의 비트가 모델 출력에 미치는 영향이 크게 달라, 특히 지수 비트 플립은 무한대 혹은 NaN을 초래해 급격한 오류를 일으킬 수 있다. 반면 INT8은 값 범위가 제한돼 있어 동일한 비트 플립이 상대적으로 완화된 효과를 보인다. 이러한 차이를 고려해 TFL은 포맷별 비트 선택 전략을 조정한다.

실험 결과는 세 가지 LLM(Qwen‑3‑14B, DeepSeek‑7B, Llama‑2‑13B)과 세 개의 벤치마크(문제 해결형 DROP, 수학 문제 GSM8K, 사실 질의 TriviaQA)를 대상으로 한다. 목표 프롬프트에 대해 지정된 키워드가 90% 이상 삽입 성공률을 보였으며, 비목표 데이터셋에 대한 정확도 감소는 기존 SBF‑A, GenBFA 대비 평균 30% 이하로 억제되었다. 특히 “SilentStrike”와 같은 기존 스텔스 공격과 비교했을 때, TFL은 목표 제어 능력에서 현저히 우수하면서도 비목표 성능 저하가 최소화되는 점이 두드러진다.

한계점으로는 완전한 화이트박스 가정(모델 파라미터와 구조에 대한 접근)과 DRAM 물리적 접근이 가능한 환경을 전제로 한다는 점이다. 또한, 비트플립 예산이 제한적일 경우 복잡한 목표 토큰 시퀀스를 삽입하는 데 어려움이 있을 수 있다. 향후 연구에서는 제한된 접근 권한(블랙박스) 상황에서의 탐색 효율성 향상과, ECC·TRR 등 하드웨어 방어 메커니즘을 우회하는 방법론을 탐구할 필요가 있다.