본 논문은 대규모 언어 모델(LLM) 기반 추천 시스템이 기존 추천 시스템의 한계를 극복하지만, 역공격(inversion attack)에 취약하여 시스템 및 사용자 프라이버시를 노출시킬 수 있음을 밝힙니다. 연구진은 LLM 기반 추천 시스템을 대상으로 한 역공격에 대한 최초의 체계적인 연구를 수행하여, 추천 모델의 출력 로짓(logit)을 이용하여 개인적 선호도, 상호작용 이력, 인구 통계적 속성 등을 포함하는 원래 프롬프트를 재구성하려는 공격자의 시도를 분석했습니다. vec2text 프레임워크를 재현하고, 'Similarity Guided Refinement'라는 새로운 방법을 제안하여 텍스트 프롬프트의 정확한 재구성을 가능하게 했습니다. 영화와 도서 두 영역의 두 가지 대표적인 LLM 기반 추천 모델을 대상으로 한 광범위한 실험 결과, 사용자가 상호 작용한 항목의 약 65%를 복구하고, 87%의 경우 나이와 성별을 정확하게 추론할 수 있음을 보여줍니다. 또한, 프라이버시 유출은 피해 모델의 성능에는 크게 영향을 받지 않지만, 도메인 일관성과 프롬프트 복잡도에 크게 의존함을 밝혔습니다. 이러한 결과는 LLM 기반 추천 시스템의 심각한 프라이버시 취약성을 드러냅니다.
