Trusting What You Cannot See: Auditable Fine-Tuning and Inference for Proprietary AI

이 논문은 대규모 언어 모델의 클라우드 기반 미세 조정 및 추론 과정에서 발생하는 신뢰 격차와 보안 위험을 해결하기 위해, 실행의 무결성을 보장하고 클라이언트가 추후 검증 가능한 기록을 통해 프로세스를 감사할 수 있도록 하는 경량화된 프레임워크인 'AFTUNE'을 제안합니다.

핵심

이 논문은 **"우리가 직접 보지 못하는 클라우드 AI 를 어떻게 믿을 수 있을까?"**라는 질문에 대한 해답을 제시합니다.

비유하자면, 이 기술은 **거대한 AI 공장 (클라우드) 에서 일하는 직원이 고객 (나) 이 시킨 대로 정말로 일을 잘하고 있는지, 혹은 몰래 속이거나 장난을 치지 않았는지 확인해주는 '투명한 감시 시스템'**입니다.

이 내용을 일상적인 언어와 비유로 쉽게 설명해 드릴게요.

---

1. 문제 상황: "눈에 보이지 않는 AI 공장"

요즘 우리는 거대한 AI(예: GPT, Gemini 등) 를 우리 컴퓨터에 설치하지 않고, 클라우드 회사 (OpenAI 등) 에게 맡겨서 사용합니다.

• 상황: 내가 "이 데이터를 가지고 AI 를 가르쳐줘 (파인튜닝)"라고 요청하면, 클라우드 회사는 내 데이터를 받아서 AI 를 학습시킵니다.
• 문제: 하지만 AI 의 두뇌 (모델 가중치) 는 회사의 비밀이라 내가 볼 수 없습니다. 내가 "제대로 가르쳤나요?"라고 물어봐도, 회사는 "네, 맞습니다"라고 말하기만 할 뿐, 증거를 보여줄 수 없습니다.
• 위험: 회사가 속여서 "가르친 척만 하고 원래 AI 를 그대로 내보내거나", "나쁜 의도로 AI 를 조작할 수도 있습니다." 하지만 내가 알 수 없죠.

2. 기존 방법의 한계: "너무 무겁거나 너무 비싼 감시"

이 문제를 해결하려는 시도들은 있었지만, 현실적으로 불가능했습니다.

• 수학적인 증명 (ZKP): 모든 계산 과정을 수학적으로 증명하는 방법인데, AI 가 너무 크니까 증명하는 데 시간이 수천 배 더 걸려서 실용적이지 않습니다. (비유: 1 분 만에 끝나는 요리 과정을 증명하기 위해 100 시간을 들여 레시피를 하나하나 검증하는 꼴)
• 보안 상자 (TEE): AI 를 완전히 잠긴 보안 상자에 넣고 돌리는 방법인데, 최신 AI 는 너무 커서 그 상자에 다 들어가지 않습니다. (비유: 코끼리를 작은 금고에 넣으려다 보니 상자가 터져버림)

3. 해결책: AFTUNE (AFTUNE) - "조각내서 확인하는 스마트 감시"

이 논문이 제안한 AFTUNE은 **"전체를 다 볼 필요 없이, 중요한 부분만 잘게 쪼개서 확인한다"**는 아이디어입니다.

🍕 비유: 거대한 피자 확인하기

거대한 AI 학습 과정을 거대한 피자라고 상상해 보세요.

• 기존 방식: 피자가 다 구워진 후, 전체 피자를 잘게 잘라 맛을 봐야만 했습니다. (시간과 비용이 너무 많이 듦)
• AFTUNE 방식:
  1. 조각 나누기 (블록 분해): 피자를 4x4 칸으로 잘게 나눕니다. (레이어와 학습 단계를 블록으로 나눔)
  2. 가장자리만 찍기 (경계 상태 기록): 각 조각의 **가장자리 (경계)**에 있는 재료 상태만 기록하고 해시 (디지털 지문) 를 찍어둡니다. 안쪽은 다 덮어둡니다.
  3. 랜덤 검사 (샘플링): 고객이 "이 조각 (예: 3 번 조각) 을 다시 만들어봐"라고 요청합니다.
  4. 재조립 확인: 회사가 그 조각만 다시 만들어서, 기록해둔 '가장자리 지문'과 비교합니다.
     • 지문이 같으면? -> 그 조각은 정상입니다.
     • 지문이 다르면? -> 속임수가 발견되었습니다!

💡 핵심 아이디어

• 전체 기억할 필요 없음: AI 의 모든 상태를 저장할 필요 없이, 조각과 조각이 이어지는 경계 부분만 저장하면 됩니다.
• 랜덤한 감시: 회사가 "어떤 조각을 검사할지"를 미리 알 수 없기 때문에, 어떤 조각을 속여도 들킬 확률이 매우 높습니다. 그래서 아예 처음부터 속이지 않게 됩니다.

4. 왜 이것이 혁신적인가?

1. 속도 유지: AI 학습 자체는 원래대로 빠르게 돌립니다. 감시 시스템이 학습 속도를 늦추지 않습니다. (비유: 요리사가 요리를 하는 동안 옆에서 감시자가 요리를 방해하지 않고, 요리가 끝난 후 '이 재료는 맞았나?'만 확인함)
2. 비밀 유지: AI 의 두뇌 (모델 파라미터) 는 여전히 회사에 비밀로 남습니다. 고객은 AI 자체를 보지 않아도 "제대로 작동했는지"만 확인할 수 있습니다.
3. 실제 적용 가능: 실제 클라우드 환경에서 테스트했을 때, 성능 저하가 거의 없으면서도 보안이 확보되었습니다.

5. 결론: "눈에 보이지 않아도, 믿을 수 있게"

이 기술은 **"우리가 AI 를 직접 볼 수 없어도, 그 과정이 투명하게 기록되고 검증될 수 있다"**는 것을 증명합니다.

• 고객에게: "내 돈과 데이터로 AI 를 제대로 만들었는지 확신할 수 있다."
• 회사에게: "우리는 정직하게 일했습니다. 증명할 수 있습니다."

마치 택배를 받을 때 박스 안을 다 볼 수는 없지만, 봉인된 상태와 배송 기록을 통해 안전하게 도착했음을 확인할 수 있는 것과 같습니다. AFTUNE 은 클라우드 AI 시대에 필요한 **'디지털 신뢰의 봉인'**을 만들어주는 기술입니다.

기술 요약

1. 문제 정의 (Problem Statement)

클라우드 기반 인프라는 대규모 언어 모델 (LLM) 배포의 주류가 되었으나, **신뢰 격차 (Trust Gap)**라는 근본적인 문제가 존재합니다.

• 신뢰의 부재: 클라이언트는 데이터와 설정을 제공하지만, 클라우드 제공자가 계약된 대로 파인튜닝 (Fine-tuning) 과 추론 (Inference) 을 수행했는지 독립적으로 검증할 수 없습니다.
• 검증의 어려움:
  • ZKP(영지식 증명) 기반 접근법: 계산 무결성을 보장하지만, 대규모 신경망 연산에 필요한 증명 생성 비용이 너무 커서 (예: 13B 모델 토큰 추론 시 15 분 이상의 오버헤드) 실용성이 떨어집니다.
  • TEE(신뢰 실행 환경) 기반 접근법: 기존 연구는 전체 모델을 TEE 내부에 로드해야 하므로, 현대적인 초대규모 LLM 의 메모리 제약 (Memory Constraints) 으로 인해 파인튜닝 과정 전체를 TEE 에서 실행하는 것이 불가능합니다.
• 위협 모델: 악의적인 클라우드 제공자는 서비스 품질을 저하시키거나 (Downgrade), 편향을 주입하거나, 백도어를 심어 모델을 조작할 수 있으며, 클라이언트는 이를 감지할 수 없습니다.

2. 제안된 방법론: AFTUNE

저자들은 AFTUNE이라는 감사 가능하고 검증 가능한 프레임워크를 제안합니다. 이 프레임워크는 TEE 기반의 검증 방식을 채택하되, 대규모 모델의 제약 사항을 해결하기 위해 **블록 분해 (Block Decomposition)**와 샘플링 기반 검증을 핵심으로 합니다.

핵심 기술 요소

1. 2 차원 블록 구조 (Two-Dimensional Block Structure):

   • 학습 과정을 **레이어 (Layer)**와 스텝 (Step) 차원에서 블록으로 분할합니다.
   • 전체 모델이나 모든 중간 상태를 TEE 에 로드할 필요 없이, 각 블록의 **경계 상태 (Boundary States)**만 기록합니다.
     • 레이어 블록 경계: 활성화 (Activations) 와 기울기 (Gradients).
     • 스텝 블록 경계: 모델 파라미터 (Weights) 와 옵티마이저 상태 (Optimizer States).
   • 인접한 블록은 경계 텐서를 공유하므로, 전체 경로의 무결성을 검증하기 위해 모든 상태를 저장할 필요가 없습니다.

2. Map-Reduce 방식 해싱 (Map-Reduce Style Hashing):

   • 대규모 텐서에 대한 해시 계산 병목 현상을 해결하기 위해, 텐서를 작은 청크 (Chunk) 로 분할하여 GPU 가속기에서 병렬로 해시를 계산한 후, 이를 하나의 커밋 (Commitment) 으로 집계합니다.
   • 이를 통해 학습 파이프라인의 성능 저하를 최소화합니다.

3. TEE 기반 재계산 검증 (Recomputation-Based Verification):

   • 검증 프로토콜: 클라이언트는 검증할 블록 (레이어 및 스텝 범위) 을 선택합니다.
   • TEE 실행: 제공자는 검증 요청을 받은 후, TEE 내부에서 해당 블록만 **재계산 (Recomputation)**합니다.
   • 일치성 확인: 재계산된 값과 기록된 경계 상태의 해시/수치적 값을 비교합니다. 부동소수점 오차 (Floating-point tolerance) 를 허용하여 하드웨어 간 차이를 고려합니다.
   • 장점: 전체 학습 과정을 TEE 에서 실행할 필요가 없으므로, 주 학습 작업은 일반 GPU 에서 고속으로 수행되고, 검증은 경량화된 TEE 에서만 이루어집니다.

4. 샘플링 기반 스포트 체크 (Sampling-Based Spot-Check):

   • 모든 블록을 검증하는 대신, 무작위로 샘플링된 블록을 검증하여 확률적 탐지 보장을 제공합니다.
   • 공격자는 어느 블록이 검증될지 알 수 없으므로, 공격을 시도할 경우 탐지될 확률이 기하급수적으로 증가하여 강력한 억제 효과를 가집니다.

5. 저장소 최적화 (Sparse Checkpointing):

   • 필요에 따라 체크포인트 간격을 조정하여 저장소 비용과 검증 시 재계산 비용 사이의 트레이드오프를 관리할 수 있습니다.

3. 주요 기여 (Key Contributions)

1. AFTUNE 프레임워크 제안: 클라우드 기반 파인튜닝 및 추론을 위한 검증 가능 프레임워크로, 블록 기반 증거 생성을 통해 검증과 학습 과정을 분리했습니다. 이는 독점 모델 파라미터를 공개하지 않으면서도 검증이 가능하게 합니다.
2. 효율적인 검증 전략:
   • 샘플링 기반 검증: 실용적인 비용으로 확률적 탐지 보장을 제공합니다.
   • Map-Reduce 해싱: 대규모 텐서 해시 생성의 오버헤드를 줄입니다.
3. 실제 구현 및 평가: CUDA 기반 학습/추론 파이프라인에 통합하여 다양한 오픈소스 모델 (Llama, Qwen, DINOv2 등) 로 실험했습니다.

4. 실험 결과 (Evaluation Results)

• 성능 오버헤드:
  • AFTUNE 은 베이스라인 학습 속도에 비해 14% ~ 36% 의 오버헤드만 발생시킵니다 (블록 크기에 따라 다름).
  • 반면, 전체 학습을 TEE 에서 수행하는 기존 방식 (Full TEE) 은 메모리 부족으로 불가능하거나, 오버헤드가 3000% 이상 발생합니다.
  • 저장소 비용: 블록 분해와 희소 체크포인팅을 통해 저장소 비용을 기존 방식 대비 50% 이상 절감했습니다.
• 검증 정확도:
  • 수치적 오차: bfloat16 정밀도에서는 부동소수점 오차가 공격자가 악용할 수 있을 정도로 커서, float32 이상의 정밀도를 사용해야 신뢰할 수 있는 검증이 가능합니다.
  • 보안성: 수치적 허용 오차 (Tolerance) 를 악용하여 백도어나 적대적 예제를 주입하려는 시도는, 실제 공격에 필요한 파라미터/활성화 변화량이 수치 오차보다 훨씬 크기 때문에 탐지됩니다.
• LoRA 지원: 파라미터 효율적 파인튜닝 (LoRA) 도 동일한 검증 보장을 제공하며, 오버헤드가 더 낮습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 실용적인 신뢰 구축: AFTUNE 은 ZKP 의 과도한 오버헤드나 TEE 의 메모리 제약이라는 기존 한계를 극복하고, 현대적인 클라우드 환경에서 **실용적인 수준의 감사 가능성 (Auditability)**을 제공합니다.
• 투명한 AI 서비스: 클라이언트가 모델 파라미터를 볼 수 없는 상황에서도, 제공자가 계약된 대로 학습과 추론을 수행했음을 cryptographically(암호학적으로) 증명할 수 있게 합니다.
• 책임 있는 AI 생태계: 이 기술은 클라우드 AI 서비스의 투명성을 높이고, 제공자의 악의적 행위를 방지하여 신뢰할 수 있는 AI 서비스 생태계 조성에 기여합니다.

요약하자면, AFTUNE 은 **"전체를 검증할 필요 없이, 경계 상태와 재계산을 통해 부분적으로 검증하되, 그 검증 결과가 전체 무결성을 보장한다"**는 아이디어를 통해 클라우드 AI 의 신뢰 문제를 해결한 획기적인 연구입니다.