Expert Selections In MoE Models Reveal (Almost) As Much As Text

이 논문은 혼합 전문가 (MoE) 모델에서 토큰 라우팅 결정만으로도 텍스트를 거의 완벽하게 복원할 수 있는 공격을 제시하여, 전문가 선택 정보가 원본 텍스트만큼 민감하게 취급되어야 함을 보여줍니다.

핵심

🕵️‍♂️ 핵심 이야기: "누가 일을 했는지 알면, 무엇을 했는지 다 안다?"

이 연구는 MoE(Mixture-of-Experts, 전문가 혼합) 라는 최신 AI 기술의 치명적인 약점을 찾아냈습니다.

1. MoE 모델이란 무엇일까요? (비유: 거대한 병원)

일반적인 AI는 모든 일을 한 명의 '슈퍼 의사'가 다 처리합니다. 하지만 MoE 모델은 거대한 병원을 상상해 보세요.

• 병원에 32 명의 전문의 (Expert) 가 있습니다.
• 환자가 (입력된 단어) 오면, 수신기 (Router) 가 환자의 증상을 보고 가장 적합한 4 명의 전문의만 골라 진료를 시킵니다.
• 나머지 28 명의 전문의는 쉬고 있죠.
• 이렇게 하면 병원이 훨씬 효율적이고 빠릅니다.

2. 공격자의 발견: "진료실 문이 열렸는지 확인만 해도 된다"

이 연구자들은 "만약 우리가 어떤 전문의가 진료에 참여했는지 (Routing Trace) 만 알 수 있다면, 환자가 어떤 병을 앓고 있었는지 (원래 텍스트) 를 추측할 수 있을까?"라고 의문을 품었습니다.

• 과거의 생각: "전문가 선택 정보만으로는 너무 정보가 부족해서 원문을 복원할 수 없을 거야."
• 이 연구의 결론: "아니요! 단순히 '누가 일했는지'만 봐도, 원문의 90% 이상을 완벽하게 복원할 수 있습니다!"

3. 어떻게 해냈을까요? (비유: 암호 해독기)

연구진은 AI 가 "어떤 전문의 4 명을 선택했는지"라는 기록만 가지고, 그걸 다시 원래 글로 바꾸는 암호 해독기 (디코더) 를 만들었습니다.

• 초보 해독기 (MLP): 단순히 "A 전문의가 나왔으니 '사과'일 확률이 높다"라고 단편적으로 추측했습니다. (정확도 63%)
• 고급 해독기 (Transformer): "A 전문의가 나왔고, 그다음 B 전문의가 나왔으니, 문맥을 고려해 '사과'가 아니라 '사과나무'일 것이다"라고 문장 전체의 흐름을 읽었습니다.
  • 결과: 32 글자짜리 문장 중 91.2% 를 정확히 맞춰냈습니다! (상위 10 개 후보 중에는 94.8% 까지!)

4. 왜 이렇게 위험할까요? (실제 공격 시나리오)

이 정보가 어떻게 유출될 수 있을까요?

• 분산 처리: AI 를 여러 컴퓨터에서 나누어 돌릴 때, 한 컴퓨터가 "내가 이 전문의 4 명을 썼어"라고 로그를 남기면, 해커는 그걸로 원문을 알아냅니다.
• 물리적 감지: 컴퓨터의 전력 소모나 전자기파를 측정하면, "어떤 전문의가 작동했는지"를 간접적으로 알아낼 수 있습니다. (예: 특정 전문의가 작동할 때 전기가 더 많이 든다)

5. 해결책은 없나요?

연구진은 다음과 같은 해결책을 제안합니다.

• 비밀 유지: "누가 일했는지"라는 정보도 원문 그 자체만큼이나 민감한 비밀로 취급해야 합니다. 로그에 남기지 마세요.
• 소음 추가: 일부러 엉뚱한 전문의를 섞거나, 전력 소모를 비슷하게 만들어서 "누가 일했는지"를 감지하기 어렵게 만들 수 있습니다. (하지만 완벽하지는 않습니다.)

---

💡 한 줄 요약

"AI 가 '누구에게 일을 맡겼는지'만 알려줘도, 해커는 그 AI 가 '무슨 말을 했는지'를 거의 완벽하게 다시 만들어낼 수 있다."

이 연구는 AI 가 더 똑똑하고 효율적으로 변할수록, 우리가 생각지 못한 새로운 보안 구멍이 생길 수 있음을 경고하며, AI 의 내부 작동 원리 (어떤 부서가 움직였는지) 도 보호해야 할 중요한 비밀임을 강조합니다.

기술 요약

1. 문제 정의 (Problem)

• 배경: 대규모 언어 모델 (LLM) 의 효율성을 높이기 위해 혼합 전문가 (Mixture-of-Experts, MoE) 아키텍처가 널리 사용되고 있습니다. MoE 는 각 토큰에 대해 전체 파라미터가 아닌 소수의 '전문가 (Expert)' 서브네트워크만 활성화하여 연산 비용을 절감합니다.
• 핵심 문제: MoE 모델에서 각 토큰이 어떤 전문가 서브네트워크로 라우팅 (라우팅 결정) 되는지 그 선택 정보 (Expert Selections) 만으로도 원래의 텍스트를 복원 (재구성) 할 수 있는지가 불명확했습니다.
• 위협 모델: 공격자가 모델의 내부 상태 (히든 상태, 라우터 로그 등) 에 접근할 수 없더라도, 라우터의 전문가 선택 정보 (어떤 토큰이 어떤 전문가로 갔는지) 만 관찰할 수 있는 상황을 가정합니다. 이는 분산 추론 환경, 물리적 사이드 채널 (전력 소모, GPU 성능 카운터 등), 파이프라인 병렬 처리 환경 등에서 발생할 수 있습니다.

2. 방법론 (Methodology)

저자들은 MoE 라우팅 정보를 통해 텍스트를 복원하는 텍스트 재구성 공격 (Text-reconstruction attack) 을 제안했습니다.

• 데이터셋 및 설정:
  • 모델: gpt-oss-20b (32 개 전문가, 톱 -4 라우팅, 24 레이어) 사용.
  • 데이터: OpenWebText 의 1 억 (100M) 토큰으로 학습, 1 천만 (10M) 토큰으로 평가.
  • 입력 신호: 각 토큰과 각 레이어에서 선택된 $k$개의 전문가 인덱스 집합 (순서 없는 집합).
• 복원 모델 (Decoder) 설계:
  1. MLP 기반 (단일 토큰): 3 층 MLP 를 사용하여 각 토큰의 전문가 선택 정보만으로 해당 토큰을 예측.
  2. Transformer 기반 (시퀀스): 인코더 전용 Transformer 를 사용하여 전체 시퀀스 (32 토큰) 의 전문가 선택 패턴을 입력받아 전체 토큰 시퀀스를 복원. 이는 토큰 간의 종속성 (문맥) 을 활용합니다.
• 학습 방식: 최대 우도 추정 (Maximum Likelihood Estimation) 을 통해 (토큰 시퀀스, 전문가 선택 트레이스) 쌍을 학습.

3. 주요 결과 (Key Results)

실험 결과는 MoE 라우팅 정보가 텍스트 복원에 매우 강력한 신호임을 입증했습니다.

• 정확도 비교:
  • MLP (단일 토큰): Top-1 정확도 63.1%, Top-5 정확도 80.3%.
  • Transformer (시퀀스 디코더): Top-1 정확도 91.2%, Top-10 정확도 94.8% (32 토큰 시퀀스 기준).
  • 기존 연구 (로지스틱 회귀 등) 에 비해 Transformer 기반 시퀀스 디코더가 성능을 획기적으로 개선했습니다.
• 정보량 분석:
  • 24 개 레이어를 모두 사용할 때, 전문가 선택의 총 엔트로피는 약 206 비트로 추정되며, 이는 토큰 식별에 충분한 정보를 포함하고 있음을 시사합니다.
  • 레이어별 분석 결과, 초기 레이어 간에는 높은 상호 정보량 (상관관계) 이 존재하지만, 중간 레이어 (약 11 층 부근) 는 고유한 라우팅 패턴을 보입니다.
• 노이즈 내성:
  • 전문가 선택 정보에 무작위 노이즈 (일부 선택을 무작위로 변경) 를 추가했을 때, 복원 정확도는 감소하지만 완전히 사라지지는 않았습니다. 이는 공격이 완벽하지 않은 측정 환경에서도 유효할 수 있음을 의미합니다.

4. 주요 기여 (Key Contributions)

1. 새로운 공격 벡터 발견: MoE 모델의 라우팅 결정 (전문가 선택) 이 텍스트 그 자체만큼 민감한 정보임을 최초로 실증적으로 증명했습니다. 이는 임베딩 역변환 (Embedding Inversion) 연구의 새로운 영역으로 확장됩니다.
2. 고성능 복원 기술: 단순 분류기를 넘어 시퀀스 종속성을 활용한 Transformer 기반 디코더를 통해 90% 이상의 높은 텍스트 복원 정확도를 달성했습니다.
3. 실제 공격 시나리오 제시: 분산 추론 (Malicious host), 물리적 사이드 채널 (GPU 성능 카운터, 전력 분석), 파이프라인 병렬 처리 환경 등 실제 배포 환경에서 전문가 선택 정보가 유출될 수 있는 구체적인 경로를 제시했습니다.
4. 대응 방안 (Mitigations) 제안:
   • 전문가 선택 정보를 토큰과 동등한 민감도로 취급하고 노출을 최소화할 것을 권고.
   • 라우팅 무작위화, 더미 연산 추가, 하드웨어 사이드 채널 차단 등 엔지니어링적 방어책 제안.

5. 의의 및 중요성 (Significance)

• 보안 패러다임의 전환: 기존에는 MoE 의 라우팅 정보가 단순한 내부 메커니즘으로 간주되었으나, 이 연구는 이를 민감한 개인정보 (Private User Prompts) 의 원천으로 재정의했습니다.
• 신뢰할 수 있는 AI 설계: MoE 아키텍처를 사용하는 LLM 을 배포할 때, 단순히 모델 가중치나 출력만 보호하는 것만으로는 부족하며, 라우팅 트레이스 (Routing Traces) 또한 보호해야 함을 강조합니다.
• 미래 연구 방향: 긴 시퀀스에서의 복원 한계, 다른 모델 아키텍처로의 전이 가능성, 그리고 성능과 보안 간의 트레이드오프 (방어책 적용 시 성능 저하) 에 대한 추가 연구가 필요함을 시사합니다.

결론적으로, 이 논문은 MoE 모델의 효율성을 위한 설계 결정 (라우팅) 이 의도치 않게 심각한 프라이버시 유출 경로를 만들 수 있음을 경고하며, MoE 배포 환경에서의 신뢰성 있는 AI 설계를 위한 새로운 기준을 제시합니다.