LLM 서비스의 KV-Cache 블록 비트 플립 취약점 분석
요약
본 연구는 대규모 언어 모델(LLM) 서빙 시스템에서 공유되는 키-값 캐시 (KV-Cache) 블록이 가질 수 있는 비트 플립 취약점을 분석했습니다. 특히 vLLM의 Prefix Caching과 같은 환경에서, 이 공유 블록들은 무결성 보호 없이 존재합니다. 연구진은 소프트웨어 오류 주입을 통해 최악의 시나리오를 분석한 결과, 세 가지 심각한 특성을 발견했습니다: 1) 침묵적 발산(Silent divergence), 2) 선택적 전파(Selective propagation), 그리고 3) 지속적 축적(Persistent acumal
핵심 포인트
- 공유 KV-Cache 블록은 무결성 보호가 없어 비트 플립 공격에 취약합니다.
- 이 취약점은 출력이 정상적으로 보이지만 내부 데이터가 변조되는 '침묵적 발산'을 유발할 수 있습니다.
- 피해는 해당 프리픽스(prefix)를 공유하는 요청에만 국한되며, 시간이 지나도 피해가 누적됩니다.
- 체크섬 기반의 카운터카운터(countermeasure)를 사용하면 배치 단위로 손상을 제한하며 오버헤드가 미미합니다.
LLM 서빙 시스템에서 공유되는 KV-Cache 블록은 비트 플립 공격에 취약할 수 있습니다. 특히 vLLM 같은 환경의 Prefix Caching에서는 이 블록들이 무결성 보호 없이 단일 물리적 복사본으로 존재합니다.
연구진은 소프트웨어 오류 주입을 통해 최악의 시나리오를 분석하고 세 가지 주요 위험 특성을 규명했습니다. 첫째, '침묵적 발산(Silent divergence)'이 발생하는데, 이는 변조된 출력이 정상적인 응답과 구별하기 어려울 정도로 일관되지만 잘못된 결과를 생성함을 의미합니다. 둘째, 피해는 해당 프리픽스를 공유하는 요청에만 국한되는 '선택적 전파(Selective propagation)'를 보입니다. 셋째, 시간 경과에 따른 손상 축적이 일어나며, 이로 인해 누적 피해가 선형적으로 증가합니다.
이러한 위협 프로파일은 모델 가중치 변조와는 다른 특징을 가지는데, 침묵적 발산과 선택적 전파 덕분에 탐지 회피가 가능하며, 지속적인 축적으로 손상 증폭이 무제한으로 일어날 수 있습니다. 연구진은 오버헤드가 미미하고 배치 단위로 누적 피해를 제한하는 체크섬 기반의 카운터카운터를 제안했습니다. 이 결과는 엔드투엔드(end-to-end) 공격 시연 전에 이미 공유 블록에 대한 무결성 보호가 필요함을 강력히 주장합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv cs.AR의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기