earticle

영어

The success of AI-based military systems, such as AI military staff and Kill-Web Matching (KWM), that assist in decision-making hinges on the reliability of Korean pre-trained language models (PLMs). However, PLMs are vulnerable to backdoor attacks, which intentionally contaminate training data to create vulnerabilities in the model. This paper aims to experimentally validate the effectiveness of backdoor attacks based on the insertion position and type of trigger words on two representative Korean PLMs, KoBERT and KoELECTRA. To this end, we systematically measured the effects of model architecture, poisoning rate, and trigger type (natural vs. anomalous) on attack efficiency for both binary (NSMC) and multi-class (KLUE-TC) classification tasks. The experimental results demonstrate that a high Attack Success Rate (ASR) of over 95% can be achieved with less than 1% data poisoning, while the classification performance on original data remains almost undegraded, confirming the high stealthiness of the attacks. Furthermore, an anomalous trigger (‘attack’), which is out-of-context, achieved a significantly higher ASR at the same poisoning rate than a natural trigger (‘really’), confirming that the Korean PLMs are more sensitive to statistically rare patterns.

한국어

AI 전투참모 및 AI 기반 지휘결심지원체계 등 의사결정을 보좌하기 위한 AI 기반 군사 시스템의 성공 여부는 한국어 사전 학습 언어 모델(Pre-trained Language Model, PLM)의 신뢰성에 달려있다. 그러나 PLM은 의도적으로 학습 데이터를 오염시 켜 모델에 취약점을 생성하는 백도어 공격에 취약하다. 이에 본 연구는 대표적인 한국어 PLM인 KoBERT 및 KoELECTRA 를 대상으로 트리거 단어의 삽입 위치와 유형을 기반으로 한 백도어 공격의 유효성을 실험적으로 검증하였다. 이를 위해 이진 분류(NSMC)와 다중분류(KLUE-TC) 데이터세트에 대해 모델 아키텍처, 오염 비율, 그리고 트리거 유형(자연스러움/이질적임) 이 공격 효율성에 미치는 영향을 체계적으로 측정하였다. 실험 결과 1% 미만의 데이터 오염만으로도 95% 이상의 높은 공격 성공률을 달성하였으며, 원본 데이터에 대한 분류 성능은 거의 저하되지 않아 백도어 공격의 높은 은닉성 또한 확인하였다. 그리고 문맥과 무관한 이질적인 트리거(‘공격’)는 데이터에 자연스럽게 존재하는 트리거(‘정말’)보다 동일한 오염 비율에서 월 등히 높은 공격 성공률을 기록하여 한국어 PLM이 통계적으로 희귀한 패턴에 더 민감하게 반응함을 확인하였다.