# Spill The Beans: Exploiting CPU Cache Side-Channels to Leak Tokens from Large Language Models

### 저자

Andrew Adiletta, Berk Sunar

### 개요

본 논문은 대규모 언어 모델(LLM)의 토큰 생성 과정에서 캐시 사이드 채널 공격을 이용하여 정보를 유출하는 새로운 공격 기법인 "Spill The Beans"를 제시합니다. 공격자는 공격 프로세스를 피해 모델과 동일한 하드웨어에 배치하여 임베딩 벡터를 캐시에서 플러시 및 재로딩함으로써 토큰 생성 중에 발생하는 캐시 적중을 감지합니다. LLM의 방대한 크기로 인해 임베딩 벡터가 캐시에서 빠르게 쫓겨나는 문제를 해결하기 위해 모니터링하는 토큰 수와 유출되는 정보량 간의 균형을 맞추는 전략을 사용합니다. 실험 결과, 이 기법을 통해 LLM에서 토큰을 유출하는 것이 가능함을 보여주며, 고엔트로피 API 키의 경우 최대 80-90%의 복구율, 영어 텍스트의 경우 40%의 복구율을 달성했습니다.  이를 통해 LLM 배포 환경의 새로운 취약성을 강조하고, 개선 방안을 제시합니다.

### 시사점, 한계점

- **시사점:**

    - LLM이 캐시 사이드 채널 공격에 취약하다는 것을 보여줌.

    - LLM 배포 환경의 보안 및 개인 정보 보호에 대한 새로운 위협을 제시.

    - 고엔트로피 API 키 및 텍스트 정보 유출 가능성을 실험적으로 증명.

    - LLM 보안 강화를 위한 새로운 방어 기법 연구 필요성 제기.

- **한계점:**

    - 토큰 모니터링 수와 유출 정보량 사이의 균형점 찾기 어려움.

    - 복구율은 모니터링 대상 토큰 집합에 따라 크게 달라짐.

    - 특정 출력 영역에 대한 공격 집중을 통해 복구율 향상 가능성 존재.

    - 실제 환경에서의 공격 성공률 및 효율성에 대한 추가 연구 필요.

[PDF 보기](https://arxiv.org/pdf/2505.00817)

![https://i.imgur.com/d0OkMGn.jpeg](https://i.imgur.com/d0OkMGn.jpeg)

For the site tree, see the [root Markdown](https://slashpage.com/haebom.md).