Model Extraction Attack (MEA)

개요

Model Extraction Attack(MEA)는 공격자가 공개된 머신러닝 또는 대규모 언어 모델(LLM) API에 반복적으로 질의(Query)를 보내 모델의 동작을 학습한 후, 이를 기반으로 유사한 대체 모델(Surrogate Model)을 복제하는 공격 기법이다. 이는 모델 파라미터 자체를 직접 탈취하지 않더라도, 출력 응답 패턴을 분석하여 모델의 의사결정 경계를 재구성하는 방식으로 이루어진다.

클라우드 기반 AI 서비스가 확산되면서, API 형태로 제공되는 모델의 지적 재산(IP) 보호와 비용 보호 관점에서 MEA는 주요 보안 위협으로 부상하고 있다.

---

1. 개념 및 정의

Model Extraction Attack은 블랙박스 접근 환경에서 입력과 출력만을 활용하여 목표 모델의 기능을 근사하는 모델을 재구성하는 공격이다. 공격자는 대량의 쿼리를 통해 학습 데이터를 간접적으로 복원하거나 의사결정 경계를 모사한다.

Tramèr et al.(2016)은 MLaaS 환경에서 모델 추출 공격의 실현 가능성을 실험적으로 입증하였으며, 이후 딥러닝 및 LLM 환경에서도 유사 공격이 보고되고 있다.

---

2. 특징

구분	설명	보안적 의미
블랙박스 공격	내부 구조 접근 불필요	탐지 어려움
대량 질의 기반	API 호출 반복	비용 유발
대체 모델 생성	Surrogate Model 구축	IP 침해

첨언: 출력 확률(Logit) 노출 시 공격 효율이 증가한다.

---

3. 구성 요소

구성 요소	역할	관련 기술
Target Model	공격 대상 API 모델	MLaaS, LLM API
Query Generator	입력 생성 및 자동화	Active Learning
Surrogate Model	복제된 모델	Distillation

첨언: Knowledge Distillation 기법이 공격에 활용될 수 있다.

---

4. 기술 요소

기술 영역	세부 기술	설명
Active Learning	정보량 높은 질의 생성	효율적 추출
Model Distillation	출력 기반 학습	근사 모델 생성
Rate Limiting 우회	트래픽 분산	탐지 회피

첨언: LLM 환경에서는 Temperature 설정이 공격 난이도에 영향.

---

5. 장점 및 이점 (공격자 관점)

구분	기대 효과	위험 요소
비용 절감	API 비용 없이 모델 사용	법적 리스크
지적 재산 확보	고가 모델 복제	서비스 피해
경쟁 우위 확보	유사 기능 구현	윤리 문제

첨언: 조직 관점에서는 심각한 경제적 손실로 이어질 수 있다.

---

6. 대응 전략 및 고려사항

대응 방안	설명	적용 기술
Query 제한	요청 횟수 및 패턴 분석	Rate Limiting
출력 최소화	Logit/확률 비공개	Response Hardening
워터마킹	모델 고유 패턴 삽입	Model Watermarking

첨언: 이상 탐지 기반 API 모니터링이 중요하다.

---

7. 결론

Model Extraction Attack은 AI 모델의 지적 재산과 경제적 가치를 직접적으로 위협하는 고도화된 블랙박스 공격 기법이다. 특히 LLM 기반 API 서비스가 확산됨에 따라, 단순한 접근 통제만으로는 충분하지 않으며, 출력 최소화, 워터마킹, 이상 탐지 기반 모니터링을 결합한 다계층 방어 전략이 요구된다. 향후 AI 보안(AI Security) 및 모델 거버넌스 영역에서 핵심적으로 다뤄질 위협 유형이다.