안전한 검색 증강 생성(Retrieval-Augmented Generation)을 향하여: 위협, 방어 기술 및 벤치마크에 대한 종합적인 고찰

Towards Secure Retrieval-Augmented Generation: A Comprehensive Review of Threats, Defenses and Benchmarks

검색 증강 생성(RAG)은 외부 지식 베이스를 활용하여 대규모 언어 모델의 환각 현상 및 전문 지식 부족 문제를 크게 완화합니다. 그러나 RAG의 다중 모듈 아키텍처는 복잡한 시스템 수준의 보안 취약점을 야기합니다. 본 논문은 RAG 워크플로우를 기반으로, 데이터 오염, 적대적 공격, 멤버십 추론 공격과 같은 핵심 위협 요소를 분석하고 체계적으로 분류합니다. 이러한 위협 평가를 바탕으로, 입력 및 출력 단계를 모두 포괄하는 이중 관점에서 RAG 방어 기술에 대한 분류 체계를 구축합니다. 입력 측면 분석에서는 동적 접근 제어, 동형 암호화 검색, 적대적 사전 필터링과 같은 데이터 보호 메커니즘을 검토합니다. 출력 측면 검토에서는 연합 학습 격리, 차등 프라이버시 변환, 경량 데이터 삭제와 같은 고급 누출 방지 기술을 요약합니다. 향후 실험 설계에 대한 통일된 벤치마크를 구축하기 위해, 권위 있는 테스트 데이터 세트, 보안 표준 및 평가 프레임워크를 통합합니다. 본 논문은 RAG 시스템의 보안에 대한 최초의 종합적인 연구입니다. 기존 연구가 특정 취약점에 초점을 맞추는 것과는 달리, 본 연구는 전체 파이프라인을 체계적으로 분석하여 위협 모델, 방어 메커니즘 및 평가 벤치마크에 대한 통합적인 분석을 제공합니다. 본 연구는 잠재적 위험에 대한 심층적인 이해를 제공함으로써, 매우 강력하고 신뢰할 수 있는 차세대 RAG 시스템 개발을 촉진하고자 합니다.

Retrieval-Augmented Generation (RAG) significantly mitigates the hallucinations and domain knowledge deficiency in large language models by incorporating external knowledge bases. However, the multi-module architecture of RAG introduces complex system-level security vulnerabilities. Guided by the RAG workflow, this paper analyzes the underlying vulnerability mechanisms and systematically categorizes core threat vectors such as data poisoning, adversarial attacks, and membership inference attacks. Based on this threat assessment, we construct a taxonomy of RAG defense technologies from a dual perspective encompassing both input and output stages. The input-side analysis reviews data protection mechanisms including dynamic access control, homomorphic encryption retrieval, and adversarial pre-filtering. The output-side examination summarizes advanced leakage prevention techniques such as federated learning isolation, differential privacy perturbation, and lightweight data sanitization. To establish a unified benchmark for future experimental design, we consolidate authoritative test datasets, security standards, and evaluation frameworks. To the best of our knowledge, this paper presents the first end-to-end survey dedicated to the security of RAG systems. Distinct from existing literature that isolates specific vulnerabilities, we systematically map the entire pipeline-providing a unified analysis of threat models, defense mechanisms, and evaluation benchmarks. By enabling deep insights into potential risks, this work seeks to foster the development of highly robust and trustworthy next-generation RAG systems.