MetaBackdoor: LLM의 백도어 공격 표면으로서 위치 인코딩 (Positional Encoding) 활용

백도어 공격 (Backdoor attacks)은 안전 및 개인정보 보호가 중요한 애플리케이션에서 범용 어시스턴트로 점점 더 많이 배치되고 있는 대규모 언어 모델 (LLMs)에 심각한 보안 위협을 제기합니다. 기존의 LLM 백도어는 주로 콘텐츠 기반 트리거 (content-based triggers)에 의존하며, 이는 입력 텍스트의 명시적인 수정을 요구합니다. 본 연구에서 우리는 이러한 가정이 불필요하며 제한적이라는 것을 보여줍니다. 우리는 텍스트 콘텐츠를 수정하지 않고 위치 정보 (positional information)를 트리거로 활용하는 새로운 종류의 백도어 공격인 MetaBackdoor를 소개합니다. 우리의 핵심 통찰은 Transformer 기반의 LLM이 순서가 있는 시퀀스 (ordered sequences)를 처리하기 위해 반드시 토큰 위치 (token positions)를 인코딩한다는 점입니다. 그 결과, 길이와 상관관계가 있는 위치 구조 (length-correlated positional structure)가 모델의 내부 연산에 반영되며, 이를 효과적인 비콘텐츠 트리거 신호 (non-content trigger signal)로 사용할 수 있습니다. 우리는 단순한 길이 기반 위치 트리거만으로도 은밀한 백도어를 활성화하기에 충분하다는 것을 입증합니다. 이전의 공격들과 달리, MetaBackdoor는 시각적 및 의미론적으로 깨끗한 입력값에서 작동하며 질적으로 새로운 능력을 가능하게 합니다. 우리는 백도어가 심어진 LLM이 길이 조건이 충족되면 독점적인 시스템 프롬프트 (system prompts)를 포함한 민감한 내부 정보를 공개하도록 유도될 수 있음을 보여줍니다. 나아가, 공격자가 제공한 트리거 텍스트 없이도 일반적인 다회차 상호작용 (multi-turn interaction)이 대화 문맥 (conversation context)을 트리거 영역으로 이동시켜 악의적인 도구 호출 (tool-call) 동작을 유도할 수 있는 자기 활성화 (self-activation) 시나리오를 입증합니다. 또한, MetaBackdoor는 콘텐츠 기반 백도어와 직교 (orthogonal)하며, 이들과 결합하여 더욱 정밀하고 탐지하기 어려운 활성화 조건을 생성할 수 있습니다. 우리의 연구 결과는 이전에 간과되었던 공격 표면으로서 위치 인코딩 (positional encoding)을 밝혀냄으로써 LLM 백도어의 위협 모델을 확장합니다. 이는 의심스러운 텍스트를 탐지하는 데 집중하는 방어 체계에 도전 과제를 던지며, 현대 LLM 아키텍처에서 위치 트리거 (positional triggers)를 명시적으로 고려하는 새로운 방어 전략의 필요성을 강조합니다.