본 논문은 대규모 언어 모델(LLM)의 샘플링 과정을 제어하여 텍스트에 통계적 신호를 미묘하게 삽입하는 텍스트 워터마킹 기술의 취약성을 다룹니다. 기존 텍스트 워터마킹 알고리즘은 텍스트 품질을 유지하기 위해 높은 엔트로피 토큰에 워터마크를 삽입하지만, 본 논문에서는 이러한 설계가 공격자에 의해 악용될 수 있음을 밝힙니다. 연구팀은 각 토큰의 자기 정보량을 계산하여 패턴 토큰을 식별하고 표적 공격을 수행하는 일반적이고 효율적인 패러프레이징 공격인 자기 정보 재작성 공격(SIRA)을 제시합니다. 실험 결과, SIRA는 7가지 최신 워터마킹 방법에 대해 거의 100%의 공격 성공률을 달성했으며, 비용은 토큰 100만 개당 0.88달러에 불과했습니다. SIRA는 워터마킹 알고리즘이나 워터마킹된 LLM에 대한 접근 권한이 필요 없으며, 모바일 수준의 모델을 포함한 모든 LLM에 적용될 수 있습니다.
