Logit-based Extraction(Logit Leakage Attack)

개요

Logit-based Extraction은 모델이 반환하는 로짓(Logit) 값 또는 확률 분포 정보를 활용하여 대상 모델의 의사결정 구조를 역추정(Model Extraction)하는 공격 기법이다. 이는 단순 라벨 기반 추출보다 훨씬 정밀한 모델 복제가 가능하며, 상용 API에서 확률값을 노출하는 경우 심각한 지적재산권 및 보안 위협이 될 수 있다. 최근 연구에서는 로짓 정보가 모델 경계와 파라미터 구조를 재구성하는 데 충분한 신호를 제공함이 입증되었다.

---

1. 개념 및 정의

Logit-based Extraction은 공격자가 대상 모델 f(x)의 출력 로짓 벡터 z(x)를 수집하고, 이를 기반으로 대체 모델 f'(x)를 학습시켜 원본 모델의 동작을 모사하는 공격 방식이다.

일반적인 구조는 다음과 같다.

1. API 질의(Query)를 통해 입력 x에 대한 로짓 z(x) 수집
2. 수집된 (x, z(x)) 데이터를 학습 데이터로 활용
3. Student 모델을 학습하여 Teacher 모델을 근사

이는 Knowledge Distillation과 유사한 구조이나, 합법적 학습이 아닌 공격 목적이라는 점에서 차이가 있다.

---

2. 특징

구분	설명	보안적 의미
고정밀 복제	확률 정보 활용	모델 구조 노출 위험
데이터 효율성	적은 샘플로 학습 가능	쿼리 비용 감소
블랙박스 적용	내부 파라미터 불필요	API 환경 위협

로짓 정보는 단순 라벨보다 훨씬 풍부한 신호를 제공하여 추출 효율을 극대화한다.

---

3. 구성 요소

구성 요소	설명	적용 기술
Query Generator	입력 샘플 생성	Random Sampling
Logit Collector	확률/로짓 수집	API Query
Surrogate Model	대체 모델 학습	Distillation

대표 연구(Tramèr et al., 2016; Orekondy et al., 2019)는 로짓 기반 추출이 라벨 기반 대비 높은 재현율을 보인다고 보고하였다.

---

4. 기술 요소

기술 영역	적용 기법	세부 설명
모델 추출	Model Stealing	출력 기반 학습
지식 증류	Temperature Scaling	Soft Target 활용
방어 기술	Output Truncation	로짓 제한

최근 클라우드 AI 서비스에서는 Top-k 제한, 확률 정밀도 축소, Differential Privacy 적용 등이 방어 전략으로 활용된다.

---

5. 장점 및 한계 (공격 관점)

구분	장점	한계
Logit 기반	높은 정확도 복제	출력 제한 시 어려움
Label 기반	단순 구조	복제 정밀도 낮음

로짓 기반 추출은 공격 효율이 높지만, 출력 정보가 차단되면 난이도가 급상승한다.

---

6. 주요 활용 사례 및 고려사항

적용 환경	사례	대응 전략
상용 Vision API	이미지 분류 모델 복제	Top-k 제한
NLP API	감정 분석 모델 추출	확률 마스킹
SaaS AI 서비스	추천 모델 모사	Query 모니터링

OECD AI Principles 및 NIST AI RMF에서는 모델 자산 보호를 위한 출력 최소화 정책을 권고하고 있다.

한 줄 첨언: 로짓은 모델의 의도를 드러내는 가장 풍부한 신호이다.

---

7. 결론

Logit-based Extraction은 출력 확률 정보만으로도 고정밀 모델 복제가 가능한 강력한 모델 추출 공격 기법이다. 특히 상용 API 환경에서는 확률 정보 노출이 직접적인 보안 리스크로 이어질 수 있다. 향후 AI 보안 설계에서는 출력 최소화, 정밀도 축소, 질의 이상 탐지, 차등 개인정보보호 적용이 핵심 대응 전략이 될 것이다.