Quantamination: 배치 간 데이터 유출을 유발하는 동적 양자화

동적 양자화 (Dynamic quantization) 는 머신러닝 서빙 파이프라인의 활용도와 효율성을 높이는 실용적인 접근법으로 부상했습니다. 오프라인에서 양자화를 적용하는 정적 양자화 (Static quantization) 와 달리, 동적 양자화는 런타임에 텐서에 대해 작동하여 실제 입력 데이터에 맞게 매개변수를 조정합니다. 오늘날의 주류 머신러닝 프레임워크,其中包括 ML 컴파일러와 추론 엔진은 모델 서빙 최적화의 초기 단계로 동적 양자화를 자주 권장합니다. 이는 동적 양자화가 메모리 사용량과 계산 부하를 현저히 줄여 토큰 생성 속도를 높이고 모델 서빙 효율성을 개선하면서도 모델 정확도에 큰 손실 없이 구현할 수 있기 때문입니다.

본 논문에서는 동적 양자화에 내재된 치명적인 취약점을 드러냅니다. 적대자가 이러한 양자화 전략을 악용하여, 적대자의 입력과 동일한 배치 (batch) 에 위치한 민감한 사용자 데이터를 탈취할 수 있습니다. 우리의 분석에 따르면, 부적절하게 구현되거나 구성된 동적 양자화는 같은 배치 내의 다른 입력에 대한 정보를 노출하는 사이드 채널 (side channels) 을 생성할 수 있음을 보여줍니다. 우리는 이 현상을 'Quantamination(양자화 오염)'이라고 명명하며, 이는 양자화에 기인한 오염을 의미합니다.

구체적으로, 현재 사용 중인 가장 인기 있는 머신러닝 프레임워크 중 적어도 4 개는 데이터가 배치 경계 (batch boundary) 를 가로질러 유출되도록 기본 설정을 채택하거나 해당 구성을 사용할 수 있음을 보여줍니다. 이론적으로 이러한 데이터 유출은 공격자가 다른 사용자의 배치 입력 데이터를 부분적이거나 심지어 완전히 복원할 수 있게 허용하여, 기존 머신러닝 서빙 프레임워크에 대한 심각한 프라이버시 위험을 초래합니다.