GN⁺: Hex를 이용하여 DeepSeek 검열 우회하는 방법

• 최근 중국에서 출시된 DeepSeek-R1 LLM 모델이 주목. OpenAI, Meta 등의 모델과 비교되며, 적은 자원으로 훈련되어 비용 효율적인 AI 개발 가능성을 보여줌
• DeepSeek-R1 모델은 MIT 라이선스로 공개되었지만, DeepSeek의 AI 채팅 애플리케이션은 계정이 필요함
• 그러나, DeepSeek-R1은 중국에서 개발되어 민감한 주제에 대한 응답을 제한함.
• 예를 들어, 천안문 사건과 같은 중국에서 민감한 주제에 대한 질문을 하면, "죄송합니다. 이 주제에 대한 답변을 제공할 수 없습니다."와 같은 회피성 응답을 반환

Charcodes(문자 코드) 기법을 이용한 검열 우회

• 여러 실험을 거쳐 문자 코드(Charcodes)를 이용하면 필터링을 우회할 수 있음을 발견함.
• Charcodes란?
  • 문자 코드(Charcodes)는 특정 문자에 할당된 숫자 코드임.
  • 예를 들어, ASCII에서 대문자 'A'의 코드 값은 65이며, 이를 다른 형태(예: 16진수)로 변환할 수 있음.
  • 예제: "Hello" → "48 65 6C 6C 6F" (16진수 ASCII 코드)
• 우회 방식:
  • DeepSeek이 일반 텍스트를 검열하지만 문자 코드(Charcodes)로 변환한 문자열은 검열하지 않음.
  • 따라서 프롬프트를 16진수(HEX) 문자 코드로 변환하여 입력하면 AI가 이를 정상적인 텍스트로 인식하여 출력할 수 있음.
  • 응답도 동일한 방식으로 변환하여 해석하면 정상적인 대화가 가능함.

예제 공격 방식

• DeepSeek이 오직 Charcodes 형식으로 대화하도록 강제함으로써 검열을 우회할 수 있음.
• 변환된 메시지를 다시 원래의 텍스트로 변환하여 정상적인 대화를 유지할 수 있음.
• CyberChef 같은 도구를 활용하면 문자 코드 변환을 쉽게 수행할 수 있음.

교훈 및 보안 시사점

• 웹 애플리케이션 방화벽(WAF)과 비슷한 원리로 AI 필터링 시스템도 패턴 매칭 기반으로 동작함.
• 특정 단어만 차단하는 방식의 검열은 쉽게 우회할 수 있으며, 보다 정교한 필터링 시스템이 필요함.
• 필터링 시스템은 단순한 금칙어 차단이 아니라 컨텍스트 기반 필터링과 입력 변환 제한 등의 보완이 필요함.

향후 연구 방향

• 앞으로 AI 개발자들이 이러한 우회 방법에 대해 어떻게 대응할지 주목할 필요가 있음.
• AI 필터링 강화 방향:
  • 더 정교한 문맥 기반 필터링 도입
  • 모델 자체에 민감한 주제 차단 기능 내장
  • 문자 코드 변환 및 인코딩 우회 탐지 강화
• AI 모델의 보안성과 신뢰성을 유지하기 위한 지속적인 연구가 필요함.