계정 공모 상황에서의 멀티 테넌트 RAG 프라이버시 감사

멀티 테넌트 검색 증강 생성 (Multi-tenant retrieval-augmented generation, RAG) 서비스는 계정별 차분 프라이버시 (Differential Privacy, DP)를 작동 가능한 유출 경계로 광고합니다. 즉, 각 계정의 쿼리는 인덱스에 대해 $(\varepsilon_{\text{acc}}, δ_{\text{acc}})$-DP를 만족함이 보장됩니다. 우리는 동일 인덱스를 사용하는 멀티 계정 공모 (multi-account collusion)가 프라이버시 경계의 실패임을 식별했습니다. 테넌트의 인덱스에 대항하여 협력하는 $k$개의 동일 테넌트 계정(운영 체제)에 대해, 알려진 DP 합성 (DP composition) 이론은 가우시안 노이즈가 추가된 검색 (Gaussian-noised retrieval)의 경우 결합 유출이 무조건적으로 $Θ(\sqrt{k} \cdot \varepsilon_{\text{acc}})$의 속도로 악화됨을 의미합니다. 테넌트 간(Cross-tenant) 및 외부 공모는 명시적인 접근 제어 실패(M4) 하에서만 해당 속도와 일치합니다. M4가 없다면 이러한 체제는 설계상 유출이 제로이며, 이는 DP 감사가 아닌 아키텍처 감사로 축소됩니다. 우리는 해당 속도를 실현하는 공격을 보여주고, 경험적으로 테스트한 RAG 특화 멤버십 추론 공격 (Membership Inference Attack, MIA) 예측을 도출합니다. 이러한 계정별/결합 간 격차를 감사 가능하게 만들기 위해, 우리는 인덱스 공개, 파이프라인 재설계, 또는 모델 가중치 노출 없이도 수정되지 않은 RAG 배포 환경에서 작동하며, 검색 점수 채널(계정별 DP 보장이 실제로 다루는 '노이즈 추가 후 선택' 단계)에 대해 정량적인 $(\textsf{PASS}, \varepsilon_{\text{audit}})$ 판정을 내리는 최초의 감사 프로토콜을 설계합니다. 생성 채널 프라이버시(선택된 문서에 조건화된 LLM 출력)는 우리의 감사와 결합되어야 하는 별도의 감사 술어(predicate)이며, 본 연구에서는 이를 명시적으로 범위에서 제외합니다. 이 프로토콜은 일반적인 암호학적 프리미티브 (Merkle ledgers, ZK function-application proofs, Gaussian noise attestations)를 6가지 RAG 특화 프리미티브 (embedder commitment, index-content vector commitment, per-account query ledger, noise-then-select attestation, cross-tenant containment proof, coalition-size estimator)와 결합하며, 폐쇄형(closed-form) 감사 경계와 Rényi-DP 모멘트 회계(moments-accountant) 추적을 모두 지원합니다.