RAG를 무력화하는 추론 비용 공격(RA-ICA)의 위협과 방어 전략
RAG 시스템의 자원 고갈과 API 비용 폭증을 노리는 추론 비용 공격(RA-ICA)의 메커니즘을 분석하고, 이를 방어하기 위한 토큰 효율성 검증 및 다단계 필터링 아키텍처를 제시합니다.
초록 최근 검색증강생성(RAG) 시스템의 보안 위협은 단순한 데이터 왜곡을 넘어, 시스템 자원을 고갈시키는 '추론 비용 공격(RA-ICA)'으로 진화하고 있습니다. 본 칼럼에서는 공격자가 CREEP 프레임워크와 MA-GRPO 강화학습을 통해 고연관성-고비용 유도 문서를 주입하는 메커니즘을 심도 있게 분석합니다. 또한, 텍스트 생성 단계 이전에 비정상적인 토큰 소비를 유발하는 적대적 패턴을 사전에 탐지하고 차단하는 방어 아키텍처의 필요성을 논증합니다. 최종적으로 법률 RAG 인프라의 안정성과 비용 효율성을 동시에 확보하기 위한 실무적 방어 프레임워크를 제안하며, 리걸테크의 신뢰성 기준을 재정립하고자 합니다.
리걸테크 분야에서 검색증강생성(RAG) 기술은 방대한 판례와 법령 데이터 속에서 정확한 법률 정보를 추출하는 핵심 엔진으로 자리 잡았습니다. 그러나 시스템의 신뢰성을 위협하는 공격 기법 역시 정교해지고 있으며, 최근에는 데이터 왜곡을 넘어 인프라 자체를 마비시키는 새로운 위협이 등장했습니다. 바로 RAG 검색기에는 매우 높은 연관성을 가진 것으로 분류되지만, 생성기(LLM) 단계에서는 무의미하고 방대한 토큰 소비를 강제하는 '추론 비용 공격(RA-ICA)'입니다. 공격자가 교묘하게 설계한 악성 문서를 법률 데이터베이스에 주입하면, AI는 이를 중요한 참고 자료로 오인하여 컨텍스트 윈도우를 가득 채우고 막대한 API 비용과 연산 지연을 유발하게 됩니다. 이는 법률 AI 서비스의 가용성을 직접적으로 타격하는 서비스 거부(DoS) 공격의 일종으로, 단순한 보안 패치 수준을 넘어 아키텍처 수준의 방어 체계가 요구되는 시점입니다. 본 칼럼에서는 이 RA-ICA 공격의 동작 원리를 규명하고, 법마디 OS가 지향해야 할 다단계 자원 방어 메커니즘을 제안합니다.
핵심 기술 개념
RA-ICA (Retrieval-Augmented Inference Cost Attack)
RAG 시스템의 외부 지식 베이스에 고의로 악성 문서를 주입하여, 검색 단계는 통과하되 생성 단계에서 LLM의 토큰 소비량을 비정상적으로 급증시켜 자원 고갈과 비용 폭증을 유발하는 적대적 공격 기법입니다.
CREEP (Computational Resource Exhaustion via External Poisoning)
LLM 에이전트를 활용해 RAG 검색기의 임베딩 유사도 평가는 극대화하면서도, 생성기 단계에서는 불필요한 추론 루프나 장황한 출력을 유도하는 최적의 적대적 문서를 자동 생성하는 공격 프레임워크입니다.
MA-GRPO (Memory-Augmented Group Relative Policy Optimization)
과거 공격에 성공했던 적대적 문서들의 패턴을 동적으로 학습하고 메모리에 유지함으로써, RAG 시스템에 대한 공격 성공률과 토큰 소비 유도 효율을 극대화하는 강화학습 알고리즘입니다.
기술 심층 분석
RA-ICA의 공격 메커니즘과 CREEP 프레임워크의 동작 원리
추론 비용 공격(RA-ICA)의 핵심은 RAG 시스템의 '검색기(Retriever)'와 '생성기(Generator)' 간의 정보 처리 비대칭성을 악용하는 것입니다. 공격자는 CREEP 프레임워크를 사용하여 법률 문서의 외형을 띠고 있으면서도 내부적으로는 LLM의 주의(Attention) 메커니즘을 교란하는 적대적 텍스트를 설계합니다. 이 텍스트는 벡터 임베딩 공간에서 질문 벡터와 매우 높은 코사인 유사도를 갖도록 최적화되어, 검색 단계에서 최상위 순위(Top-K)로 선택됩니다. 그러나 일단 컨텍스트 윈도우에 입력되면, LLM으로 하여금 불필요하게 복잡한 주의 집중 연산을 수행하게 만들거나, 프롬프트 인젝션 기법을 결합하여 극도로 장황한 답변을 출력하도록 강제합니다. 결과적으로 단 한 번의 쿼리만으로도 평소 대비 수십 배에 달하는 입력 및 출력 토큰을 소비하게 만들며, 이는 고스란히 서비스 제공자의 인프라 비용과 응답 지연 시간의 폭증으로 이어집니다.
MA-GRPO를 통한 공격 고도화와 RAG 취약점 분석
RA-ICA 공격이 무서운 이유는 MA-GRPO(Memory-Augmented Group Relative Policy Optimization)와 같은 강화학습 기법을 통해 지속적으로 진화하기 때문입니다. 공격 에이전트는 RAG 시스템의 응답 시간이나 반환되는 텍스트의 길이를 피드백 신호로 삼아, 어떤 형태의 문장 구조와 키워드 배치가 더 많은 연산 자원을 갉아먹는지 스스로 학습합니다. 특히 메모리 증강(Memory-Augmented) 구조를 통해 과거에 차단당하지 않고 성공적으로 자원을 고갈시켰던 텍스트 패턴을 보존하고 이를 변형하여 재사용합니다. RAG 시스템은 기본적으로 외부 소스를 '신뢰할 수 있는 지식'으로 전제하고 컨텍스트에 주입하기 때문에, 이러한 강화학습 기반의 정교한 적대적 문서를 사전 필터링 없이 LLM에 전달하게 됩니다. 이로 인해 기존의 단순 키워드 매칭이나 정적 룰 기반 방어 체계는 쉽게 무력화되며, 시스템의 가용성이 치명적으로 위협받게 됩니다.
토큰 효율성 검증을 위한 정적·동적 다단계 필터링 아키텍처
RA-ICA 공격을 방어하기 위해서는 검색된 문서가 LLM에 전달되기 전에 그 '토큰 효율성'과 '구조적 무결성'을 검증하는 다단계 필터링 파이프라인이 필수적입니다. 1단계 정적 필터링에서는 정보 엔트로피(Entropy) 분석을 통해 텍스트 내의 무의미한 반복 패턴이나 비정상적으로 높은 압축률을 가진 적대적 노이즈를 탐지합니다. 2단계 동적 필터링에서는 경량화된 분류 모델(Classifier)을 활용하여, 검색된 문서가 질문의 맥락과 실질적으로 정합하는지, 아니면 단순히 임베딩 유사도만 높여놓은 유도성 문서인지를 판별합니다. 또한, 문서의 길이 대비 포함된 실제 정보량(Information Density)을 측정하여 기준치 미달인 문서는 LLM 컨텍스트 주입 대상에서 즉시 제외합니다. 이와 같은 다단계 검증 아키텍처는 공격 문서가 생성기에 도달하는 경로를 원천 차단함으로써, 불필요한 LLM 추론 연산의 발생을 사전에 방지하는 방어벽 역할을 수행합니다.
컨텍스트 윈도우 제어와 동적 토큰 예산 할당 기법
필터링 단계를 넘어선 잠재적 위협에 대응하기 위해, 시스템 레벨에서 컨텍스트 윈도우의 동적 제어와 쿼리당 토큰 예산 제한(Token Budgeting) 정책을 도입해야 합니다. RAG 시스템은 검색된 Top-K 문서의 총 토큰 수가 사전에 설정된 임계값을 초과할 경우, 무조건 전체를 LLM에 전달하는 대신 각 문서의 기여도를 평가하여 동적으로 컨텍스트를 절삭(Truncation)해야 합니다. 예를 들어, 특정 문서가 비정상적으로 긴 길이를 차지하면서도 질문과의 실질적 연관성 점수가 낮다면, 해당 문서에 할당되는 토큰 예산을 강제로 제한하는 방식입니다. 또한, 사용자 세션별로 단위 시간당 소비할 수 있는 최대 토큰 누적량을 제한하는 속도 제한(Rate Limiting) 메커니즘을 적용하여, 분산된 RA-ICA 공격 시도가 전체 인프라의 마비로 이어지는 것을 방지합니다. 이러한 동적 예산 관리 체계는 적대적 환경에서도 RAG 시스템의 최소 가용성과 비용 예측 가능성을 보장하는 마지막 보루가 됩니다.
기술적 트레이드오프
긴장 관계 적대적 문서를 걸러내기 위해 필터링 단계를 촘촘하게 설계할수록 RAG 시스템의 전체 응답 지연 시간(Latency)이 증가하며, 반대로 신속한 응답을 위해 검증 과정을 축소하면 RA-ICA 공격에 노출되어 막대한 비용 폭증과 시스템 다운을 초래할 수 있는 긴장 관계가 존재합니다.
실무적 해소 이러한 트레이드오프를 해결하기 위해, 검증 단계를 비동기 병렬 파이프라인으로 구성하고 경량 임베딩 모델과 CPU 기반의 고속 정보 엔트로피 필터를 전처리 단계에 배치합니다. 실질적인 심층 맥락 검증은 상위 랭킹된 소수의 문서에만 제한적으로 적용함으로써, 일반적인 쿼리에서의 지연 시간 증가를 최소화하는 동시에 고위험 적대적 패턴을 효과적으로 차단합니다.
법마디 OS에 적용한다면
법마디 OS의 RAG 인프라에 RA-ICA 방어 체계를 적용하기 위해, 우리는 검색 엔진과 LLM 오케스트레이터 사이에 '적대적 토큰 가드(Adversarial Token Guard)' 레이어를 신설할 것입니다. 이 레이어는 법률 코퍼스에서 검색된 판례 및 법령 문서의 텍스트 밀도를 실시간으로 계산하고, CREEP 프레임워크 특유의 인공적 섭동 패턴이 감지되면 해당 문서를 격리(Sandbox) 영역으로 보냅니다. 격리된 문서에 대해서는 LLM 대신 훨씬 저렴하고 빠른 소형 언어 모델(SLM)을 활용해 1차 요약을 수행하게 함으로써, 원본의 무익한 토큰 낭비를 방지하고 핵심 법률 요점만을 안전하게 추출합니다. 또한, 법마디 OS 내부의 사용자 권한 및 쿼리 이력과 연계하여, 특정 세션에서 발생하는 토큰 소비 추이를 실시간 모니터링하고 이상 징후 발생 시 동적으로 토큰 예산을 제한하는 정책을 시행할 것입니다. 이를 통해 법마디 OS는 악의적인 비용 공격 상황에서도 중단 없는 법률 자문 서비스를 제공할 수 있는 고도의 인프라 무결성을 확보하게 됩니다.
기술적 함의
- arrow_forward RAG 보안의 패러다임이 데이터 무결성 보호를 넘어, 인프라의 가용성과 비용 효율성을 방어하는 자원 무결성 영역으로 확장되어야 합니다.
- arrow_forward 강화학습 기반의 정교한 적대적 공격에 대응하기 위해, RAG 시스템 역시 정적 규칙을 넘어 동적이고 적응적인 다단계 검증 필터를 갖추어야 합니다.
- arrow_forward 신뢰할 수 있는 리걸테크 서비스를 지속하기 위해서는 기술적 정확성뿐만 아니라, 예측 가능한 운영 비용과 시스템 안정성을 아키텍처 수준에서 보장해야 합니다.
"법률을 다루는 AI의 무결성은 완벽한 답변의 도출뿐만 아니라, 어떠한 적대적 공격 앞에서도 시스템의 신뢰성과 안정성을 잃지 않는 견고한 아키텍처에서 완성됩니다."
참고 자료
- arxiv.org Which Changes Matter? Towards Trustworthy Legal AI via Relevance-Sensitive Evaluation and Solver-Grounded Reasoning
- arxiv.org Inference Cost Attacks for Retrieval
- arxiv.org Mind the GAP: Text Safety Does Not Transfer to Tool-Call Safety in LLM Agents
- arxiv.org AgentCanary: A Security Evaluation Framework for Autonomous AI Agents in Real Executable Environments
- arxiv.org AgentCanary: A Security Evaluation Framework for Autonomous AI Agents in Real Executable Environments
- arxiv.org Bridging Legal Interpretation and Formal Logic: Faithfulness, Assumption, and the Future of AI Legal Reasoning
