대규모 언어 모델(LLM)의 안전 훈련이 대부분 영어를 중심으로 이뤄져, 저자원 언어나 여러 언어가 뒤섞인 상황에는 방어 체계가 잘 작동하지 않는다는 문제가 재차 확인됐다. 연구진은 이런 허점을 파고드는 새로운 공격 기법 ‘STEER(Safety Targeted Embedding Exploit via Refinement)’를 제안한 논문을 아카이브(arXiv)에 공개했다.
STEER는 모델이 유해한 요청을 거부하도록 만드는 데 강하게 기여하는 단어를 찾아낸 뒤, 이를 저자원 언어로 반복적으로 번역하는 방식으로 작동한다. 이 과정에서 원래 요청이 담고 있던 유해한 의도는 그대로 유지하면서, 모델의 거부 반응만 선택적으로 억제하는 것이 핵심이다. 연구진은 이 기법을 8B(80억) 파라미터급 오픈소스 모델 6종에 적용해 실제로 안전장치를 우회할 수 있는지 검증했다.

검증 결과 STEER는 유해 프롬프트 평가용 벤치마크인 JailbreakBench에서 최대 93.0%, AdvBench에서 최대 96.7%의 공격 성공률을 기록했다. 이는 무작위로 언어를 섞어 쓰는 코드스위칭 방식이나, 기존에 알려진 GCG(Greedy Coordinate Gradient) 기법보다 뚜렷하게 우수한 성적이다. 더 나아가 STEER로 생성한 공격 프롬프트는 대상 모델 내부 구조에 전혀 접근하지 않고도 GPT-4o-mini에 전이돼 35.5%의 공격 성공률을 보였다고 연구진은 밝혔다. 이는 특정 모델을 겨냥해 만든 공격이 다른 모델에도 통할 수 있다는 뜻이어서 우려를 더한다.
연구진은 이 결과를 토대로 다국어 안전성을 강화하려면 정렬(alignment) 훈련 단계에서부터 더 폭넓은 언어를 다뤄야 한다고 강조했다. 아울러 모델이 훈련 데이터의 언어 분포를 벗어난 입력, 즉 분포 외(out-of-distribution) 입력을 명시적으로 감지해 답변을 보류하는 안전장치도 함께 마련해야 한다고 제언했다. 정부기관의 AI 도입 사례가 늘어나는 가운데, 다국어 환경에서의 안전성 검증이 앞으로 더욱 중요한 과제로 떠오를 전망이다.












