LLM(대규모 언어 모델)에 삽입된 백도어 트리거를 제거하는 ‘언러닝(unlearning)’ 과정이, 명시적으로 타깃으로 삼지 않은 다른 백도어까지 함께 억제한다는 연구 결과가 발표됐다. 연구팀은 “백도어 언러닝의 일반화(Backdoor Unlearning Generalization)”라는 현상을 발견했으며, 이 교차 백도어 억제 효과가 사전 학습(또는 연속 사전 학습) 단계에서 삽입된 백도어들 사이에서 세 개 모델 패밀리에 걸쳐 재현됨을 확인했다.
백도어 공격은 모델 학습 데이터나 파인튜닝 과정에 특수한 트리거를 심어, 해당 트리거가 입력될 때만 공격자가 의도한 악성 출력을 유도하는 보안 위협이다. 기존 방어 연구는 대부분 알려진 트리거를 탐지·제거하는 데 집중했으나, 실제 공격에서는 어떤 백도어가 삽입됐는지 파악하기 어렵다는 한계가 있었다. 이번 연구는 하나의 백도어를 제거하는 것만으로도 알 수 없는 다른 백도어들에 대해 예상치 못한 방어 효과가 발생한다는 점을 처음으로 체계적으로 보고했다.
연구팀은 이 교차 억제 효과를 설명하기 위해 교차 활성화 이동 거리(Cross Activation Shift Distance) 지표를 새로 도입했다. 이 지표는 서로 다른 학습 방식으로 인한 모델 변화 간의 거리를 측정해, 왜 특정 백도어 제거가 다른 백도어에도 영향을 미치는지를 분석한다. 나아가 연구팀은 역설적인 방어 전략을 제안했다. 방어자가 의도적으로 제어된 백도어를 모델에 먼저 삽입한 뒤 이를 제거하면, 공격자가 사전에 심어둔 알 수 없는 백도어까지 함께 억제할 수 있다는 것이다.
이 연구는 LLM 보안 접근 방식을 탐지 기반에서 능동적 제거 전략으로 전환하는 방향성을 제시한다. 모델 공급망 보안 우려가 높아지는 상황에서, 특정 백도어를 타깃으로 삼지 않고도 광범위한 방어 효과를 낼 수 있다는 가능성은 실용적 의미를 갖는다. 다만 이 전략이 실제 배포 환경에서 어떤 조건 아래 얼마나 신뢰할 수 있는지에 대한 추가 검증이 필요하다.
