Functionally Equivalent Extraction(FEE)

개요

Functionally Equivalent Extraction(FEE)는 공격자가 블랙박스 접근만을 활용하여 목표 모델(Target Model)과 기능적으로 동일한(Functionally Equivalent) 모델을 재구성하는 고도화된 모델 탈취 공격 기법이다. 단순 성능 근사가 아닌, 입력 공간 전반에 걸쳐 동일하거나 매우 유사한 의사결정 경계를 복원하는 것을 목표로 한다.

특히 MLaaS 및 LLM API 환경에서 내부 파라미터를 직접 획득하지 않더라도 모델의 기능적 동등성을 확보할 수 있다는 점에서 지적 재산(IP) 및 상업적 가치에 심각한 위협이 된다.

---

1. 개념 및 정의

Functionally Equivalent Extraction은 입력–출력 쌍을 반복적으로 수집하고, 의사결정 경계를 체계적으로 탐색하여 목표 모델과 동등한 함수(Function)를 학습하는 공격이다. 이는 단순 Distillation 기반 근사보다 더 정밀한 경계 복원을 지향한다.

Jagielski et al. 등 연구에서는 특정 모델 클래스(예: 결정트리, 선형 모델)에 대해 다항 시간 내에 함수적 동등 모델을 재구성할 수 있음을 이론적으로 제시하였다.

---

2. 특징

구분	설명	보안적 의미
기능적 동등성 목표	정확한 결정 경계 복원	IP 완전 복제 위험
경계 탐색 기반	Decision Boundary 집중 분석	고정밀 추출
모델 유형 의존	특정 아키텍처에 최적화	방어 복잡성 증가

첨언: 단순 Surrogate 모델보다 복제 정확도가 높다.

---

3. 구성 요소

구성 요소	역할	관련 기술
Target Model	공격 대상	MLaaS, API 모델
Boundary Query Engine	경계 탐색 질의	Adaptive Querying
Equivalent Model	재구성 모델	Analytical Reconstruction

첨언: 모델 구조를 추론하는 메타 정보 분석이 활용될 수 있다.

---

4. 기술 요소

기술 영역	세부 기술	설명
Adaptive Query	정보량 높은 입력 생성	경계 정밀 탐색
Model Reconstruction	수학적 역추론	파라미터 복원
Confidence Score 활용	출력 확률 분석	복제 정확도 향상

첨언: 출력 확률값이 제공될 경우 공격 효율이 급증한다.

---

5. 공격 영향

영향 영역	설명	조직 리스크
완전 기능 복제	모델 IP 상실	경쟁력 붕괴
경제적 손실	API 사용 감소	매출 감소
추가 분석 기반	모델 취약점 탐색 가능	2차 공격

첨언: 고부가가치 AI SaaS 기업에 치명적이다.

---

6. 대응 전략 및 고려사항

대응 방안	설명	적용 기술
출력 최소화	확률·Confidence 비공개	정보 노출 차단
Query 이상 탐지	패턴 분석 기반 차단	Behavioral Monitoring
모델 워터마킹	고유 패턴 삽입	복제 추적

첨언: Differential Privacy 기반 응답 왜곡이 연구되고 있다.

---

7. 결론

Functionally Equivalent Extraction은 단순 근사 모델을 넘어 목표 모델과 기능적으로 동일한 모델을 재구성하는 고도화된 공격 기법이다. API 기반 AI 서비스 확산과 함께 지적 재산 보호를 위한 기술적·정책적 대응이 필수적이며, 출력 제한·이상 탐지·워터마킹을 결합한 다계층 방어 전략이 요구된다. 향후 AI 보안 연구에서 중요한 위협 모델로 지속적으로 다뤄질 전망이다.