Logit-based Extraction(Logit Leakage Attack)
개요
Logit-based Extraction은 모델이 반환하는 로짓(Logit) 값 또는 확률 분포 정보를 활용하여 대상 모델의 의사결정 구조를 역추정(Model Extraction)하는 공격 기법이다. 이는 단순 라벨 기반 추출보다 훨씬 정밀한 모델 복제가 가능하며, 상용 API에서 확률값을 노출하는 경우 심각한 지적재산권 및 보안 위협이 될 수 있다. 최근 연구에서는 로짓 정보가 모델 경계와 파라미터 구조를 재구성하는 데 충분한 신호를 제공함이 입증되었다.
1. 개념 및 정의
Logit-based Extraction은 공격자가 대상 모델 f(x)의 출력 로짓 벡터 z(x)를 수집하고, 이를 기반으로 대체 모델 f'(x)를 학습시켜 원본 모델의 동작을 모사하는 공격 방식이다.
일반적인 구조는 다음과 같다.
- API 질의(Query)를 통해 입력 x에 대한 로짓 z(x) 수집
- 수집된 (x, z(x)) 데이터를 학습 데이터로 활용
- Student 모델을 학습하여 Teacher 모델을 근사
이는 Knowledge Distillation과 유사한 구조이나, 합법적 학습이 아닌 공격 목적이라는 점에서 차이가 있다.
2. 특징
| 구분 | 설명 | 보안적 의미 |
| 고정밀 복제 | 확률 정보 활용 | 모델 구조 노출 위험 |
| 데이터 효율성 | 적은 샘플로 학습 가능 | 쿼리 비용 감소 |
| 블랙박스 적용 | 내부 파라미터 불필요 | API 환경 위협 |
로짓 정보는 단순 라벨보다 훨씬 풍부한 신호를 제공하여 추출 효율을 극대화한다.
3. 구성 요소
| 구성 요소 | 설명 | 적용 기술 |
| Query Generator | 입력 샘플 생성 | Random Sampling |
| Logit Collector | 확률/로짓 수집 | API Query |
| Surrogate Model | 대체 모델 학습 | Distillation |
대표 연구(Tramèr et al., 2016; Orekondy et al., 2019)는 로짓 기반 추출이 라벨 기반 대비 높은 재현율을 보인다고 보고하였다.
4. 기술 요소
| 기술 영역 | 적용 기법 | 세부 설명 |
| 모델 추출 | Model Stealing | 출력 기반 학습 |
| 지식 증류 | Temperature Scaling | Soft Target 활용 |
| 방어 기술 | Output Truncation | 로짓 제한 |
최근 클라우드 AI 서비스에서는 Top-k 제한, 확률 정밀도 축소, Differential Privacy 적용 등이 방어 전략으로 활용된다.
5. 장점 및 한계 (공격 관점)
| 구분 | 장점 | 한계 |
| Logit 기반 | 높은 정확도 복제 | 출력 제한 시 어려움 |
| Label 기반 | 단순 구조 | 복제 정밀도 낮음 |
로짓 기반 추출은 공격 효율이 높지만, 출력 정보가 차단되면 난이도가 급상승한다.
6. 주요 활용 사례 및 고려사항
| 적용 환경 | 사례 | 대응 전략 |
| 상용 Vision API | 이미지 분류 모델 복제 | Top-k 제한 |
| NLP API | 감정 분석 모델 추출 | 확률 마스킹 |
| SaaS AI 서비스 | 추천 모델 모사 | Query 모니터링 |
OECD AI Principles 및 NIST AI RMF에서는 모델 자산 보호를 위한 출력 최소화 정책을 권고하고 있다.
한 줄 첨언: 로짓은 모델의 의도를 드러내는 가장 풍부한 신호이다.
7. 결론
Logit-based Extraction은 출력 확률 정보만으로도 고정밀 모델 복제가 가능한 강력한 모델 추출 공격 기법이다. 특히 상용 API 환경에서는 확률 정보 노출이 직접적인 보안 리스크로 이어질 수 있다. 향후 AI 보안 설계에서는 출력 최소화, 정밀도 축소, 질의 이상 탐지, 차등 개인정보보호 적용이 핵심 대응 전략이 될 것이다.