SIREN: 출력 필터링이 아닌 모델 내부 상태를 읽는 LLM 보안의 새로운 접근법

**「내부로부터의 LLM 안전성: 내부 표현을 사용한 유해 콘텐츠 탐지」**라는 제목의 새로운 논문이 SIREN 시스템을 제안하며 2026년 4월 20일 ArXiv에 게재되었습니다(ID: 2604.18519). Difan Jiao, Yilun Liu, Ye Yuan, Zhenwei Tang, Linfeng Du, Haolun Wu, Ashton Anderson 저자들은 고전적인 출력 필터링에서 모델 내부 상태에 의한 탐지로의 전환을 제안하며, 이는 오픈 소스 LLM이 보안 메커니즘을 구현하는 방식을 근본적으로 바꿀 수 있습니다.

출력 필터링이란 무엇이며 SIREN이 그것을 포기하는 이유는?

오늘날 대부분의 보안 메커니즘——Claude, GPT, Llama 포함——은 출력 필터링에 의존합니다. 모델이 텍스트를 생성하면 별도의 「가드 모델」이 해당 텍스트를 검토하고 통과시킬지, 검열할지, 거부 메시지를 트리거할지 결정합니다. 이러한 가드 모델은 일반적으로 크고 계산 비용이 높으며, 모델이 생성에 이미 노력을 기울인 후에야 반응합니다.

SIREN은 관점을 바꿉니다. 최종 토큰이나 출력만 분석하는 대신, 모델의 여러 레이어에 걸쳐 「보안 뉴런」을 찾기 위해 **선형 프로빙(linear probing)**을 사용합니다. 이는 히든 스테이트(hidden states)와 활성화——모델이 입력을 처리하는 동안 생성하는 내부 수치 벡터——에 대한 분석입니다. 이 정보는 어떤 출력 단어가 생성되기 전에도 존재하므로, SIREN은 더 일찍, 더 정확하게 반응할 수 있습니다.

레이어별 적응형 전략은 어떻게 정확히 작동합니까?

SIREN은 적응형 레이어 가중치 전략을 적용합니다. 모든 레이어를 동등하게 취급하는 것이 아니라, 최종 유해성 판단에서 어떤 레이어를 더 높게 가중할지 학습합니다. 선형 프로빙은 각 레이어에서 해당 레이어의 표현이 「안전한지」 또는 「위험한지」 평가하는 작은 선형 분류기를 훈련하는 기법입니다. 저자들은 보안 관련 특성이 「내부 레이어 전반에 분산되어 있다」는 것을 보여줍니다——즉, 끝에만 있는 것이 아니라 전체 처리 경로에 걸쳐 분산되어 있습니다.

결과는 인상적입니다. SIREN은 「250배 적은 훈련 파라미터로 최신 오픈 소스 가드 모델을 크게 능가합니다」. 또한 훈련 중에 보지 못한 벤치마크에 대한 더 나은 일반화도 보여주며, 이는 보안 분류기의 전통적인 약점입니다. 작은 크기 때문에 추론은 「왜 어떤 것이 유해한지」에 대한 설명을 「작성」해야 하는 생성형 가드 모델보다 훨씬 빠릅니다.

누구에게 중요하며 한계는 무엇입니까?

사용자 측면의 주요 장점은 오거부(false refusal) 감소입니다——가드가 합법적인 요청을 과도하게 신중하게 분류하여 거부하는 경우입니다. SIREN은 내부 상태를 읽기 때문에 표면적인 트리거 단어와 실제 의도를 더 잘 구별합니다(예: 사이버보안 교육 맥락에서의 「공격」이라는 단어가 자동으로 차단을 트리거하지 않습니다).

주요 한계는 명확합니다. SIREN은 모델에 대한 화이트박스 접근(내부 활성화를 읽는 기능)이 필요합니다. 이로 인해 내부 상태에 액세스할 수 없는 OpenAI나 Anthropic의 닫힌 상업용 API에서는 제외됩니다. 반면, 바로 이것이 SIREN을 오픈 소스 생태계(Llama, Qwen, Mistral, DeepSeek)에 매우 매력적으로 만듭니다——거기서는 히든 스테이트에 완전히 액세스할 수 있고, 개발자는 콘텐츠를 외부 가드 서비스에 보내지 않고 저렴한 로컬 보안 인프라가 필요한 경우가 많습니다.