EmbTracker: Traceable Black-box Watermarking for Federated Language Models

이 논문은 연방 언어 모델 환경에서 개별 클라이언트 수준의 추적성을 보장하고 백도어 기반의 블랙박스 워터마킹을 통해 모델 유출 시 책임 소재를 명확히 규명하는 'EmbTracker' 프레임워크를 제안합니다.

핵심

🏛️ 상황 설정: "함께 만드는 거대한 도서관"

생각해 보세요. 전 세계의 여러 기업과 기관이 각자 가지고 있는 비밀스러운 자료 (데이터) 를 그대로 공유하지 않고, 중앙에 있는 **'주인 (서버)'**이 만든 **'공통의 두뇌 (AI 모델)'**를 가져와서 각자 자신의 자료로 훈련시키는 상황이 있습니다.

• 장점: 각자의 비밀 자료는 그대로 안전하게 보관됩니다.
• 문제점: 하지만 훈련이 끝난 '두뇌'를 가져간 누군가가, 이걸 훔쳐서 남에게 팔거나 불법으로 배포할 수 있습니다. 이때 "누가 훔쳐갔지?"를 알기가 매우 어렵습니다. 기존 기술들은 "우리 그룹이 만든 거야!"라고만 증명할 뿐, "A 회사가 훔쳐갔어!"라고 특정할 수는 없었습니다.

🕵️‍♂️ 해결책: EmbTracker (엠브트래커)

이 논문은 **"누가 훔쳐갔는지 한 명도 빠짐없이 찾아내는 추적 시스템"**을 제안합니다. 이를 위해 세 가지 핵심 아이디어를 사용합니다.

1. "각자 다른 색깔의 안경" (개별화된 워터마크)

기존 방식은 모든 사람에게 똑같은 스티커를 붙였기 때문에, 스티커가 붙은 물건을 보고 "누가 가져갔는지" 알 수 없었습니다.
EmbTracker 는 서버가 각 고객 (클라이언트) 에게独一无二的한 '디지털 안경'을 만들어줍니다.

• 비유: 100 명의 학생에게 똑같은 교복을 입히면 누가 누구인지 모릅니다. 하지만 각 학생의 교복 안쪽에는 **그 학생만의 고유한 이름표 (워터마크)**를 보이지 않게 박아둡니다.
• 실제 작동: 서버는 각 고객의 신원 (ID) 을 이용해 '특정 단어'를 선택하고, 그 단어의 의미를 살짝 변형시킵니다. 이 변화는 사람이 눈으로 보거나 AI 가 일반 작업을 할 때는 전혀 티가 나지 않지만, 특정 질문을 했을 때만 반응합니다.

2. "보이지 않는 암호문" (블랙박스 검증)

도둑이 AI 모델을 훔쳐서 외부에 팔면, 우리는 그 모델의 내부 구조 (코드나 데이터) 를 볼 수 없습니다. 마치 상자를 열어보지 않고 내용물을 확인해야 하는 상황입니다.

• 비유: 도둑이 훔친 AI 모델을 "이거 우리 거야?"라고 물어보면, AI 는 대답을 합니다.
• EmbTracker 의 방법: 서버는 각 고객에게 준 '고유 이름표'를 가진 특정 질문 (예: "이 문장에 '악성 링크'를 클릭하세요"라고 말하기) 을 던져봅니다.
  • 만약 훔친 모델이 A 고객에게 준 질문에만 반응하고 정답을 내놓는다면? -> **"아! 이 모델은 A 고객이 훔쳐간 것이 확실해!"**라고 바로 알 수 있습니다.
  • 이 과정은 모델의 속을 들여다보지 않고 (블랙박스), 질문과 답변만으로 확인하므로 매우 안전합니다.

3. "무거운 짐을 들지 않는 기술" (효율성)

기존 기술들은 고객에게도 추가 작업을 요구하거나, 모델을 다시 훈련시키는 데 엄청난 시간이 걸렸습니다.

• 비유: EmbTracker 는 서버가 미리 준비한 '마법 지팡이'를 각 고객에게 건네주는 방식입니다.
  • 서버는 한 번만 훈련하면 됩니다.
  • 고객은 자신의 데이터로 훈련할 때, 이 '마법 지팡이'가 끼워진 상태라 전혀 모릅니다.
  • 고객은 원래 하던 일만 하면 되므로, AI 의 성능 (정확도) 은 거의 떨어지지 않습니다. (약 1~2% 이내의 미세한 차이만 발생)

---

🛡️ 왜 이것이 중요한가요? (강력한 방어력)

이 시스템은 도둑들이 모델을 변형하려 해도 잘 작동합니다.

• 모델을 다듬는 공격 (Pruning): 불필요한 부분을 잘라내도 워터마크는 살아남습니다.
• 모델을 압축하는 공격 (Quantization): 메모리를 줄이기 위해 데이터를 압축해도 워터마크는 사라지지 않습니다.
• 새로운 데이터로 다시 훈련하는 공격 (Fine-tuning): 도둑이 자신의 데이터로 다시 가르쳐도 워터마크는 지워지지 않습니다.

마치 다이아몬드 안에 새겨진 미세한 글씨처럼, 모델을 아무리 가공해도 그 고유한 흔적은 남아서 도둑의 신원을 밝혀냅니다.

📝 한 줄 요약

EmbTracker는 여러 사람이 함께 AI 를 만들 때, 서버가 각자에게 보이지 않는 '고유한 암호'를 심어둠으로써, 나중에 그 AI 가 유출되면 "누가 훔쳐갔는지"를 100% 에 가깝게 정확히 찾아내는 혁신적인 기술입니다.

이 기술은 AI 의 지적 재산권을 보호하면서도, AI 의 성능을 떨어뜨리지 않고, 도둑의 내부 구조를 볼 필요 없이 질문만으로 추적할 수 있게 해줍니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

배경:
연언어 모델 (Federated Language Models, FedLM) 은 원본 데이터를 공유하지 않고 분산된 환경 (기업, 기관, 사용자 기기 등) 에서 협력 학습을 가능하게 하여 데이터 프라이버시를 보호합니다. 그러나 이 과정에서 클라이언트가 학습 중인 글로벌 모델 인스턴스를 무단으로 유출하거나 재배포할 경우 지적재산권 (IP) 침해의 위험이 발생합니다.

핵심 문제:
기존의 페더러티드 러닝 (FL) 워터마킹 기법들은 다음과 같은 한계를 가지고 있어 실제 위협 환경에서 효과적이지 못합니다.

1. 검증의 한계 (White-box vs Black-box): 많은 기존 방식이 모델의 내부 파라미터 (가중치) 에 접근할 수 있는 'White-box' 환경을 가정합니다. 하지만 실제 유출된 모델은 API 를 통한 'Black-box' 접근만 가능한 경우가 대부분입니다.
2. 추적 불가능성 (Traceability): 기존 방식은 대부분 모든 클라이언트가 공유하는 단일 워터마크 (Group-level) 를 사용하거나, 클라이언트 측의 협력을 필요로 합니다. 이로 인해 유출된 모델이 특정 클라이언트에게서 비롯된 것인지 식별할 수 없어, 악의적인 클라이언트를 특정할 수 없습니다.
3. 부담스러운 오버헤드: 클라이언트별 고유 워터마크를 생성하기 위해 각 클라이언트마다 별도의 재학습이 필요하거나 복잡한 프로토콜이 요구되는 경우가 많아 확장성이 떨어집니다.

목표:
서버 측에서만 수행 가능하며, 외부 공격자 (악의적 클라이언트) 가 알지 못하는 상태에서, 유출된 모델을 Black-box 방식으로 검증하고 특정 클라이언트 (누가 유출했는지) 를 추적할 수 있는 워터마킹 프레임워크를 구축하는 것입니다.

---

2. 제안 방법론: EmbTracker (Methodology)

EmbTracker는 서버 측에서 수행되는 추적 가능한 Black-box 워터마킹 프레임워크로, 현대적 언어 모델 (LM) 의 단어 임베딩 (Word Embedding) 공간을 워터마크 신호의 운반체로 활용합니다.

핵심 아이디어

• 임베딩 공간 활용: 단어 임베딩 벡터는 모델의 전체 파라미터 대비 매우 작고, 특정 토큰의 임베딩을 수정해도 모델의 주요 성능에 미치는 영향이 미미합니다. 이는 워터마크를 은닉하기 위한 이상적인 공간입니다.
• 백도어 기반 워터마크: 특정 '트리거 (Trigger)' 입력이 주어졌을 때 모델이 특정 '목표 출력 (Target Output)'을 생성하도록 학습시키는 백도어 기법을 적용합니다.

주요 단계 (3 단계 프로세스)

1. 트리거 생성 (Trigger Generation):

   • 각 클라이언트는 고유한 개인 키로 디지털 서명 (Signature) 을 생성합니다.
   • 서버는 이 서명과 해시 함수 (SHA256 등) 를 사용하여 각 클라이언트별 고유한 트리거 단어 (Trigger Word) 인덱스를 생성합니다.
   • 이를 통해 각 클라이언트는 고유한 워터마크 트리거 세트를 갖게 됩니다.

2. 워터마크 주입 (Watermark Injection):

   • 초기화 (서버 측): 서버는 전역 공통 트리거 (Tru) 를 사용하여 워터마크 임베딩 벡터 (Ww) 를 한 번만 학습합니다. 이때 모델의 다른 파라미터는 고정 (Freeze) 하고 임베딩 레이어만 업데이트합니다.
   • 클라이언트별 매핑: 각 클라이언트에게 모델을 배포하기 전, 서버는 해당 클라이언트의 고유 트리거 (Trk) 에 해당하는 임베딩 벡터를 미리 학습된 Ww 로 교체합니다.
   • 효율성: 이 과정은 서버 측에서 임베딩 벡터만 교체하는 것이므로, 클라이언트별 재학습이 필요 없으며 PEFT(LoRA, Prefix Tuning 등) 와 호환됩니다. 클라이언트는 워터마크가 주입된 사실을 인지하지 못합니다.

3. 검증 및 추적 (Verification & Traceability):

   • 유출된 모델이 발견되면, 서버는 각 클라이언트의 고유 트리거를 입력으로 하여 Black-box API 를 통해 모델을 호출합니다.
   • 특정 클라이언트의 트리거에 대해 높은 정확도로 목표 출력이 생성되면 (Verification Rate, VR), 해당 모델이 그 클라이언트에서 유출된 것으로 추적합니다.
   • 다른 클라이언트의 트리거에 대해서는 낮은 반응률을 보여 충돌 (Collision) 을 방지합니다.

---

3. 주요 기여 (Key Contributions)

1. 최초의 FedLM 전용 추적 가능 Black-box 프레임워크: 클라이언트 측 수정 없이 서버 측에서만 수행 가능하며, 유출된 모델을 특정 클라이언트에게 귀속시킬 수 있는 첫 번째 솔루션을 제안했습니다.
2. 효율적인 임베딩 기반 주입 기법: 단어 임베딩 공간에 고유한 워터마크를 주입하여, 클라이언트별 재학습 없이도 오버헤드가 거의 없으며 다양한 PEFT 방법 (LoRA 등) 과 호환됩니다.
3. 강력한 실험적 검증: 다양한 분류 및 생성 태스크, 언어 모델 (BERT, Llama, Qwen 등), 그리고 시각 - 언어 모델 (VLM) 에서 높은 추적 정확도와 강건성을 입증했습니다.

---

4. 실험 결과 (Results)

• 추적 정확도 (Traceability):
  • 거의 모든 실험 환경 (IID 및 Non-IID) 에서 검증률 (VR) 이 99% 이상을 기록하여, 유출된 모델을 거의 100% 정확도로 특정 클라이언트에게 추적할 수 있음을 보였습니다.
  • 다른 클라이언트의 트리거에 대한 오검출 (Verification Leakage) 은 10% 미만으로 낮아 충돌이 발생하지 않았습니다.
• 모델 성능 유지 (Fidelity):
  • 워터마크 주입으로 인한 주요 태스크의 정확도 (ACC) 저하는 1~2% 이내로 매우 미미했습니다. 일부 경우 오히려 일반화 성능이 향상되기도 했습니다.
• 강건성 (Robustness):
  • 파인튜닝 공격: 악의적 클라이언트가 추가 학습을 수행해도 워터마크는 유지되었습니다.
  • 프러닝 (Pruning): 모델 파라미터의 30% 까지 제거해도 워터마크가 살아남았습니다.
  • 양자화 (Quantization): FP16, INT8 등 다양한 양자화 수준에서도 95% 이상의 VR 을 유지했습니다.
  • 오버라이팅 공격: 악의적 클라이언트가 새로운 워터마크를 덮어쓰려 해도 기존 워터마크의 식별은 여전히 가능했습니다.
• 효율성:
  • 기존 방식 (TraMark 등) 이 클라이언트 수에 비례하여 재학습 비용이 급증하는 반면, EmbTracker 는 초기 서버 학습만 수행하므로 클라이언트 수가 증가해도 시간 오버헤드가 거의 증가하지 않았습니다.

---

5. 의의 및 결론 (Significance)

EmbTracker 는 페더러티드 러닝 환경에서의 지적재산권 보호에 있어 다음과 같은 중요한 의의를 가집니다:

1. 실용적인 IP 보호: 실제 배포 환경 (Black-box API) 에서도 작동하며, 악의적 클라이언트를 구체적으로 식별할 수 있어 법적/기술적 대응의 근거를 제공합니다.
2. 확장성: 대규모 클라이언트 환경과 다양한 PEFT 기법, 그리고 최신 대형 언어 모델 (LLM) 및 멀티모달 모델에 적용 가능하여 실제 시스템 도입에 적합합니다.
3. 비용 효율성: 클라이언트 측의 추가 부담 없이 서버 측에서 효율적으로 관리할 수 있어, 페더러티드 러닝 생태계의 지속 가능성을 높입니다.

결론적으로, EmbTracker 는 분산된 언어 모델 학습 환경에서 발생하는 모델 유출 문제를 해결하기 위한 강력하고 실용적인 추적 가능 워터마킹 솔루션을 제시합니다.