마이크로소프트는 암호화된 네트워크 트래픽만 관찰해도 AI 채팅의 주제를 유추할 수 있는 새로운 부채널(사이드채널) 공격 ‘위스퍼 릭(Whisper Leak)’을 공개했습니다. 해당 공격은 HTTPS로 보호된 통신에서도 특정 대화 주제를 알아내는 것이 가능한 점에서 주목받고 있습니다.

이 공격은 인터넷 서비스 제공업체(ISP)나 같은 와이파이망에 연결된 공격자가 TLS 암호화 패킷의 크기와 전송 간격만 분석해 사용자 입력 프롬프트가 특정 주제에 속하는지 분류기로 판단하는 방식입니다. 공격자는 실제 대화 내용을 보지 못하지만, 패킷의 길이와 도착 시점을 학습된 모델에 입력하면 민감한 주제 여부를 판별할 수 있습니다.

대형 언어 모델(LLM)에서는 ‘스트리밍’ 기법을 많이 사용합니다. 스트리밍은 모델이 생성하는 답변을 한꺼번에 내려받지 않고, 차례대로 작은 단위의 토큰을 받아보는 방식입니다. 이 과정에서 패킷 크기와 시간 정보가 고유한 패턴으로 남아 공격자가 주제를 추론할 단서를 제공합니다.

마이크로소프트는 위스퍼 릭의 가능성을 증명하기 위해 LightGBM, Bi-LSTM, BERT 등 세 가지 머신러닝 모델로 이진 분류기를 학습시켰습니다. Alibaba, DeepSeek, Mistral, Microsoft, OpenAI, xAI 모델은 98% 이상의 정확도로 특정 주제를 식별할 수 있었고, Google과 Amazon 모델도 일부 방어책(토큰 일괄 처리)을 적용했지만 완벽히 면역되지는 않았습니다.

공격자는 시간이 지날수록 더 많은 학습 샘플을 모아 판별 성능을 높일 수 있습니다. 실제로 정부 기관이나 ISP가 AI 챗봇 트래픽을 감시할 경우, 불법 자금 세탁이나 정치적 반대 의견 등 민감한 주제를 묻는 사용자를 쉽게 식별할 수 있습니다. 이에 OpenAI, Microsoft, Mistral 등 주요 업체는 각 답변에 길이가 다른 무작위 텍스트를 덧붙여 토큰 길이를 숨기는 패딩(padding) 방어책을 도입했습니다.

사용자 차원의 권고사항으로는 공용 와이파이 같은 불안전한 네트워크에서 민감한 대화를 피하고, VPN을 사용해 트래픽을 추가로 보호하는 방법이 있습니다. 또한 스트리밍을 사용하지 않는 모델을 선택하거나 이미 방어책이 적용된 서비스로 전환하는 것도 효과적입니다.

이번 발표는 오픈소스 AI 모델과 챗봇이 적절한 보안 장치 없이 운용될 때 발생할 수 있는 위험을 강조합니다. 개발자는 정기적인 레드팀 평가와 엄격한 시스템 프롬프트 설정, 보안 제어 강화 등을 통해 부채널 공격에 대비해야 합니다.