자연스러운 스타일 기반의 은밀한 LLM 백도어 공격 프레임워크 (BadStyle)

대규모 언어 모델(LLMs)의 안전 필수 영역 활용 증가는 보안 취약점에 대한 심각한 우려를 낳고 있습니다. 최근 연구들은 LLMs에 백도어 공격이 가능하다는 점을 입증했지만, 기존 방법론에는 세 가지 주요 결함이 존재합니다.

1. 자연스러움 저해: 명시적인 트리거 패턴 사용으로 인해 생성된 결과물의 자연성이 떨어집니다.
2. 페이로드 주입 불안정성: 긴 형식(long-form generation)에서 공격자가 지정한 페이로드를 안정적으로 주입하기 어렵습니다.
3. 위협 모델 불완전성: 백도어의 전달 및 활성화 과정에 대한 위협 모델이 충분히 구체화되어 있지 않습니다.

본 논문은 이러한 격차를 해소하는 완전한 백도어 공격 프레임워크이자 파이프라인인 BadStyle을 제시합니다. BadStyle의 핵심은 LLM 자체를 '오염 샘플 생성기(poisoned sample generator)'로 활용한다는 점입니다. 이를 통해 의미론과 유창성을 보존하면서, 감지하기 어려운 스타일 수준의 트리거가 포함된 자연스러운 오염 샘플을 구축할 수 있습니다.

또한, 파인튜닝(fine-tuning) 과정에서 페이로드 주입을 안정화시키기 위해 **보조 타겟 손실(auxiliary target loss)**을 설계했습니다. 이 손실 함수는 공격자가 지정한 목표 콘텐츠를 오염된 입력에 대한 응답으로 강화하고, 동시에 정상적인(benign) 응답에서는 해당 내용의 출현을 억제하여 백도어 활성화의 안정성을 극대화합니다.

BadStyle은 실제 위협 모델에 기반하여 공격을 수행하며, 프롬프트 유도 방식과 PEFT(Parameter-Efficient Fine-Tuning) 기반 주입 전략 모두에서 체계적으로 평가되었습니다. LLaMA, Phi, DeepSeek, GPT 시리즈를 포함한 7개의 피해 LLM에 대한 광범위한 실험 결과, BadStyle은 높은 공격 성공률(Attack Success Rates, ASR)을 달성하는 동시에 강력한 은밀성을 유지함을 입증했습니다.

특히 제안된 보조 타겟 손실 덕분에 백도어 활성화의 안정성이 크게 향상되어, 스타일 수준 트리거를 사용했을 때 평균 ASR이 약 30% 개선되는 결과를 얻었습니다. 더욱 주목할 점은, 주입 과정에서 알지 못했던 다운스트림 배포 시나리오에서도 심어진 백도어가 여전히 효과적이며, BadStyle은 간단한 위장(camouflage)을 통해 대표적인 입력 수준 방어 및 출력 수준 방어를 지속적으로 우회한다는 것입니다.