Retrieval Pivot Attacks in Hybrid RAG: Measuring and Mitigating Amplified Leakage from Vector Seeds to Graph Expansion

이 논문은 하이브리드 RAG 시스템에서 벡터 검색 결과가 그래프 확장을 통해 민감한 데이터 영역으로 이동하는 '검색 피벗 공격'의 위험을 규명하고, 그래프 확장 경계에서 권한 검증을 수행함으로써 추가적인 오버헤드 없이 이러한 데이터 유출을 효과적으로 차단할 수 있음을 입증합니다.

핵심

🏛️ 이야기: 도서관의 두 가지 검색 방식

상상해 보세요. 거대한 기업 도서관이 있습니다. 여기에는 두 가지 검색 방법이 있습니다.

1. 비밀 번호가 걸린 책장 (벡터 검색):

   • 직원이 "우리 부서 프로젝트"라고 검색하면, 보안 요원이 먼저 "이 직원은 우리 부서 사람인가?"를 확인합니다.
   • 확인되면 자신의 부서 책장에서 관련 책만 가져와 줍니다. 다른 부서의 비밀 책은 절대 건드리지 않습니다. 아주 안전합니다.

2. 전체 도서관을 누비는 안내원 (지식 그래프 확장):

   • 하지만 요즘은 더 똑똑한 시스템을 도입했습니다. 직원이 가져온 책 한 권을 보고, 그 책에 나오는 이름이나 단어를 찾아 다른 책들과 연결해 주는 '안내원'을 고용한 것입니다.
   • 예: "클라우드"라는 단어가 나오면, 안내원은 "아, 클라우드 관련 책들이 여기저기 있네?" 하고 찾아서 가져옵니다.

💣 문제: "안내원의 눈가림" (리트리벌 피벗 공격)

여기서 치명적인 실수가 발생합니다.

1. 직원은 **자신만 볼 수 있는 책 (안전한 책)**을 검색해서 가져옵니다. (비밀 번호 확인 O)
2. 하지만 그 책에 **"클라우드"**라는 단어가 있습니다.
3. 안내원 (지식 그래프) 은 이 단어를 보고 **"클라우드"**라는 주제를 찾아 나섭니다.
4. 여기가 문제입니다! 안내원은 "클라우드"라는 단어가 다른 부서의 비밀 문서에도 쓰인다는 것을 알고 있습니다.
5. 안내원은 보안 요원의 확인 없이, 자신만의 권한으로 다른 부서의 비밀 책까지 가져와서 직원의 책상 위에 올려놓습니다.

결과: 직원은 "내 부서 프로젝트"만 물어봤는데, 다른 부서의 비밀 급여 명세서나 보안 비밀번호가 섞여 나온 것입니다.

이 논문은 이 현상을 **"리트리벌 피벗 공격 (Retrieval Pivot Attack)"**이라고 부르며, **"안전한 책 한 권이 다른 부서의 비밀을 모두 열어젖히는 지렛대 (Pivot) 가 된다"**고 설명합니다.

---

🔍 연구 결과가 말해주는 놀라운 사실

1. 공격자가 악의적인 글을 쓸 필요도 없습니다:

   • 해커가 악성 글을 넣지 않아도, 자연스럽게 "클라우드", "공급업체", "규제 기준" 같은 단어는 여러 부서에서 공유됩니다.
   • 그냥 평범한 질문을 해도, 이 공유된 단어를 통해 다른 부서의 비밀이 저절로 유출됩니다. (논문에 따르면 95% 이상의 질문에서 유출이 발생했습니다!)

2. 유출은 정확히 '2 걸음' 만에 일어납니다:

   • 1 걸음: 안전한 책 (내 책)
   • 2 걸음: 공유된 단어 (안내원이 찾는 연결고리)
   • 3 걸음: 비밀 책 (다른 부서의 책)
   • 이 시스템은 2 걸음만 건너뛰면 바로 비밀 구역에 도달해 버립니다.

3. 유출량은 엄청납니다:

   • 기존 방식 (책장만 검색) 은 유출이 0 이었지만, 이 새로운 방식 (안내원 추가) 을 쓰면 유출된 정보가 160 배~190 배나 늘어났습니다.

---

🛡️ 해결책: 안내원에게 "수첩"을 주자 (D1 방어)

이 논문은 이 문제를 해결하는 아주 간단하지만 강력한 방법을 제안합니다.

"안내원이 책을 가져올 때마다, 매번 보안 요원에게 확인을 받으라!"

• 기존 방식: 책장 (검색) 에서만 확인하고, 안내원이 가져오는 과정은 방치함.
• 새로운 방식 (D1): 안내원이 책을 한 권씩 가져올 때마다, **"이 책이 이 직원의 권한 범위 안에 있는가?"**를 매번 (Hop-by-Hop) 다시 확인합니다.

효과:

• 유출 0%: 모든 비밀 책이 차단됩니다.
• 속도: 거의 느려지지 않습니다 (1 밀리초 미만).
• 비용: 새로운 시스템을 만드는 게 아니라, 기존에 있던 보안 규칙을 적용하는 위치만 바꿨을 뿐입니다.

---

💡 한 줄 요약

"안전한 검색 결과 (내 책) 를 바탕으로 다른 정보를 찾아주려던 시스템이, 오히려 내 권한 밖의 비밀 (다른 부서의 책) 까지 가져와서 유출시키는 구멍이 있었습니다. 이를 막으려면, 정보를 찾아오는 매 단계마다 다시 권한을 확인해야 합니다."

이 연구는 AI 가 더 똑똑해질수록, 보안은 더 세밀하게 관리되어야 함을 경고하며, **가장 단순한 규칙 (단계별 확인)**이 가장 강력한 방패가 될 수 있음을 보여줍니다.

기술 요약

1. 문제 정의: 검색 피벗 취약점 (Retrieval Pivot Vulnerability)

• 배경: 기업용 RAG 시스템은 복잡한 추론을 위해 벡터 유사도 검색 (Vector Search) 으로 초기 문서 조각 (Seed Chunk) 을 찾은 후, 이를 기반으로 지식 그래프를 통해 관련 엔티티를 확장 (Graph Expansion) 하는 하이브리드 방식을 채택하고 있습니다.
• 핵심 문제: 벡터 검색 단계에서는 멀티 테넌트 (Multi-tenant) 정책이 적용되어 권한이 있는 문서만 반환되지만, 지식 그래프 확장 단계에서는 이러한 권한 검사가 누락되는 경우가 많습니다.
• 피벗 메커니즘:
  1. 사용자가 권한 있는 쿼리를 수행하면, 벡터 DB 는 해당 테넌트의 문서 (Seed) 만 반환합니다.
  2. 이 문서에 언급된 공유 엔티티 (예: 공통 벤더명, 인프라 이름, 표준 준수 사항 등) 가 지식 그래프의 노드로 연결됩니다.
  3. 지식 그래프 탐색 엔진은 이 엔티티 노드를 경유하여 다른 테넌트나 더 높은 기밀 등급의 문서로 이동합니다.
  4. 결과적으로, 사용자의 권한이 없는 민감한 데이터가 컨텍스트 윈도우에 유출됩니다.
• 특징: 악성 문서 주입 (Injection) 이 없더라도, 기업 내부에서 자연스럽게 발생하는 공유 엔티티만으로도 대규모 데이터 유출이 발생할 수 있습니다.

2. 방법론 및 측정 지표

저자는 이 위험을 정량화하기 위해 새로운 지표와 메트릭을 정의했습니다.

• 검색 피벗 위험 (Retrieval Pivot Risk, RPR): 쿼리 컨텍스트에 무단 항목이 포함될 확률.
• 유출량 (Leakage@k): 컨텍스트 내 무단 항목의 수.
• 증폭 계수 (Amplification Factor, AF): 하이브리드 방식이 벡터-only 방식 대비 유출을 얼마나 증폭시키는지.
• 피벗 깊이 (Pivot Depth, PD): 권한 있는 시드 (Seed) 에서 첫 번째 무단 노드에 도달하기까지의 그래프 홉 (Hop) 수.

실험 환경:

• 데이터셋: 1) 합성 기업 코퍼스 (1,000 문서, 4 테넌트), 2) 엔론 (Enron) 이메일 코퍼스 (50,000 메일), 3) SEC EDGAR 10-K filing (20 개 기업).
• 시스템 구성: 벡터 DB (ChromaDB) + 지식 그래프 (Neo4j).
• 공격 시나리오: 4 가지 비적응형 공격 (A1A4) 과 3 가지 적응형 공격 (A5A7) 을 설계하여 평가.

3. 주요 결과 (Results)

3.1 유출의 심각성

• 벡터-only (P1): 모든 데이터셋에서 RPR = 0.0 (완벽한 보안).
• 방어 없는 하이브리드 (P3):
  • 합성 코퍼스: RPR ≈ 0.95 (쿼리의 95% 에서 유출 발생).
  • 엔론 코퍼스: RPR ≈ 0.70.
  • EDGAR 코퍼스: RPR ≈ 0.09.
  • 증폭 계수 (AF): 벡터-only 대비 160~194 배의 유출량 증가.
• 구조적 발견: 모든 유출은 정확히 PD = 2 홉에서 발생했습니다.
  • Hop 0: 권한 있는 시드 문서 (벡터 검색).
  • Hop 1: 공유 엔티티 노드 (권한 정보 없음).
  • Hop 2: 무단 문서 (다른 테넌트/고등급).
  • 이는 이분법적 (Bipartite) 인 Chunk-Entity 그래프 구조의 필연적인 결과입니다.

3.2 유기적 유출 (Organic Leakage)

• 악성 문서 주입 없이도, 합법적인 쿼리만으로도 공유 엔티티 (인프라, 벤더, 직원 등) 를 통해 유출이 발생했습니다.
• 이는 공격자가 시스템을 조작하지 않아도, 시스템 구조 자체가 보안 결함을 내포하고 있음을 의미합니다.

3.3 방어 효과 (Defense)

저자는 5 단계 방어 전략 (D1~D5) 을 제안하고 실험했습니다.

• D1 (Hop 단위 권한 확인): 그래프 확장 단계에서 각 노드 (엔티티 및 문서) 에 대해 테넌트 및 기밀 등급을 재확인하는 방식.
  • 결과: D1 하나만으로도 RPR 을 0.0 으로 완전히 차단했습니다.
  • 성능: 레이턴시 증가가 미미 (<1ms) 하며, 벡터-only 방식보다 5.6 배 더 많은 권한 있는 컨텍스트를 유지하면서도 유출을 방지했습니다.
• D2~D5: 엣지 허용 목록, 탐색 예산 제한, 신뢰도 가중치, 병합 필터 등은 D1 이후의 '유용성 최적화' 또는 '심층 방어' 역할을 했습니다.

4. 주요 기여 (Contributions)

1. 새로운 취약점 규명: 벡터와 그래프의 결합 (Composition) 에서 발생하는 '검색 피벗' 취약점을 최초로 체계적으로 분석하고 공식화했습니다.
2. 정량적 메트릭 개발: RPR, AF, PD 등 하이브리드 RAG 의 보안 위험을 측정할 수 있는 표준 메트릭을 제시했습니다.
3. 구조적 인과관계 증명: 유출이 공격자의 주입 여부와 무관하게, 공유 엔티티를 통한 2 홉 (Hop 2) 구조적 경로로 발생함을 3 개의 서로 다른 데이터셋에서 검증했습니다.
4. 실용적 방어책 제시: 복잡한 모델 수정 없이, 그래프 확장 단계에서 'Hop 단위 권한 확인 (Per-hop Authorization)'을 수행하는 것만으로도 취약점을 완전히 해결할 수 있음을 입증했습니다.

5. 의의 및 시사점

• 보안 패러다임의 전환: 기존 RAG 보안은 벡터 검색 단계의 권한 관리에 집중했으나, 하이브리드 시스템에서는 지식 그래프 확장 단계에서의 권한 재검증이 필수적입니다.
• 엔터프라이즈 적용: LangChain, LlamaIndex, Microsoft GraphRAG 등 주요 프레임워크를 사용하는 기업들은 현재 이 취약점에 노출되어 있을 가능성이 높으며, D1 전략을 즉시 적용해야 합니다.
• 에이전트 시스템 위험: 자율 에이전트가 그래프 탐색을 수행하는 경우, 인간 개입 없이 유출이 발생할 수 있어 이 방어 메커니즘이 더욱 중요합니다.

결론적으로, 이 논문은 하이브리드 RAG 시스템이 가진 구조적 보안 결함을 명확히 지적하고, 복잡하지 않은 정책적 통제 (D1) 만으로도 이를 해결할 수 있음을 보여주어, 향후 RAG 시스템 설계의 표준 보안 요구사항을 제시했습니다.