회전 기반 무학습 방어: 비트 플립 공격에 대한 손실 없는 견고성

본 논문은 양자화된 대형 언어 모델(LLM)에서 발생하는 비트 플립 공격이 모델 전체를 급격히 붕괴시키는 현상을 심층적으로 분석하고, 이를 방어하기 위한 새로운 무학습 방어 기법인 Rotated Robustness(RoR)를 제시한다. 1. **배경 및 위협 모델** - LLM은 수십억 개의 파라미터를 갖는 트랜스포머 기반 모델로, 최근 Edge 디바이스까지 확장되고 있다. - 양자화된 가중치는 DRAM에 저장되며, Rowhammer 등 물리적 결함이나 우주 방사선 등에 의해 비트 플립이 발생할 수 있다. - 비트 플립은 무작위(Black‑Box)와 목표형(Gray‑Box, White‑Box) 두 가지 시나리오로 나뉘며, 특히 목표형 공격은 Gradient‑guided PBS, AttentionBreaker, ONEFLIP 등으로 가중치의 가장 민감한 비트를 찾아 공격한다. 2. **SPoF 현상의 원인 규명** - 실험적으로 OPT‑125M에 무작위 비트 플립을 100번 시드마다 적용했을 때, 약 5%의 시드에서 퍼플렉시티가 30에서 1800으로 폭발하며 모델이 완전히 무능력해지는 현상을 관찰했다. 이를 ‘Single‑Point‑Failure(SPoF)’라 명명한다. - 채널별 활성화 값을 조사하면 특정 채널이 평균 대비 30배 이상 큰 스파이크를 보이며, 이러한 ‘활성화 이상치’와 해당 채널에 연결된 가중치 행이 정렬될 경우, 비트 플립이 발생하면 오류가 Δy = ΔW·‖X_:,j‖∞ 로 증폭된다. - 따라서 SPoF는 구조적으로 ‘활성화 이상치와 가중치 비트의 공간적 정렬’에 의해 발생한다는 가설을 제시한다. 3. **RoR 방어 메커니즘** - RoR은 하우스홀더 변환(Householder transformation)을 이용해 활성화 공간에 정규 직교 회전을 적용한다. - 하우스홀더 행렬 H = I − 2vvᵀ/‖v‖² 은 선택된 이상치 채널 벡터 v를 반사시켜 스파이크 에너지를 모든 차원에 고르게 분산한다. - 회전 행렬 Q는 여러 하우스홀더 행렬을 연속적으로 곱해 구성되며, Q는 직교이므로 (X·Q)·W = X·(Q·W) 로 변환이 가능해 모델 파라미터 자체를 변경하지 않는다. 즉, 원본 정확도가 보존된다(‘lossless’). - 이상치 채널을 탐지하기 위해 각 채널의 L∞ 노름 m_j 를 계산하고, 평균 µ와 표준편차 σ 를 이용해 τ = max(µ+α·σ, 2µ, 1.0) (α=6 기본값) 로 임계값을 정한다. τ 를 초과하는 채널에 대해 하우스홀더 회전을 적용한다. 4. **효율성 및 구현** - 직교 회전은 GEMM 연산 전후에 저차원 행렬 곱(Q와 Qᵀ)만 삽입하면 되므로 연산 오버헤드가 9.1%~19.2% 수준에 머문다. - 회전 행렬을 WY 형태의 컴팩트 표현으로 저장해 메모리 오버헤드가 0.31% 이하다. - 기존 방어인 ECC, 재학습, 코딩 스킴 등과 달리 모델 구조를 변경하거나 추가적인 디코딩 단계가 필요하지 않으며, 하드웨어 친화적인 dense low‑rank 연산을 그대로 유지한다. 5. **실험 결과** - **무작위 비트 플립**: Qwen2.5‑7B에서 붕괴율 3.15% → 0% (RoR 적용). - **목표형 PBS 50번 플립**: Llama‑2‑7B에서 MMLU 정확도 45.2% → 43.9% (RoR), 반면 기존 방어는 0%에 수렴. - **Single‑Point Fault Attack (SPFA)**: 기존 방어는 5~7비트만으로 모델을 붕괴시키지만, RoR은 17,000비트 이상을 동시에 뒤집어야 동일한 효과를 얻을 수 있어 물리적 한계를 초과한다. - 다양한 모델(Llama‑3‑8B, OPT‑125M, Qwen‑2‑7B 등)과 다양한 양자화 비트(4‑bit, 8‑bit)에서도 일관된 견고성을 보였다. 6. **한계 및 향후 연구** - 현재 RoR는 활성화 이상치를 사전 탐지하고 회전 행렬을 생성하는 과정이 한 번의 사전 단계에서 수행된다. 실시간 동적 이상치 변동에 대한 적응형 회전 업데이트는 아직 다루지 않았다. - 하우스홀더 회전은 전체 채널에 적용될 경우 일부 작업에서 미세한 정밀도 손실이 보고될 수 있으나, 현재 실험에서는 통계적으로 유의미한 차이가 없었다. - 향후 연구에서는 비트 플립 외에도 가중치 드리프트, 메모리 누수 등 다른 하드웨어 결함에 대한 일반화 가능성을 탐색하고, 하드웨어 수준에서 회전 연산을 가속화하는 전용 모듈 설계도 고려한다. **결론** 본 논문은 LLM에서 비트 플립에 의한 급격한 오류 증폭이 활성화 이상치와 가중치 비트의 정렬에서 비롯된다는 새로운 인사이트를 제공한다. 이를 해결하기 위해 제안된 Rotated Robustness(RoR)는 정규 직교 하우스홀더 회전을 통해 이상치를 분산시켜 오류 증폭을 억제하면서도 모델 정확도를 손실 없이 유지한다. 실험적으로 무작위 및 목표형 공격 모두에서 붕괴율을 0%에 가깝게 낮추고, 공격 복잡도를 수천 비트 수준으로 끌어올려 실제 하드웨어 공격이 실현 불가능하도록 만든다. 저장·연산 비용이 미미하고, 학습이 필요 없으며, 기존 트랜스포머 파이프라인에 그대로 적용 가능하므로, LLM을 안전하게 배포하고 운영하려는 실무 환경에 매우 실용적인 방어 메커니즘이라 할 수 있다.