검색 증강 생성(Retrieval-Augmented Generation)의 보안 강화: 공격 유형, 방어 전략, 그리고 미래 연구 방향

Securing Retrieval-Augmented Generation: A Taxonomy of Attacks, Defenses, and Future Directions

검색 증강 생성(RAG)은 대규모 언어 모델(LLM)의 성능을 크게 향상시키지만, 외부 지식 접근을 통해 새로운 보안 위험을 야기합니다. 기존 연구들은 다양한 RAG 취약점을 다루지만, 종종 LLM 자체의 위험과 RAG가 도입하거나 증폭시키는 위험을 혼동하는 경향이 있습니다. 본 논문에서는 안전한 RAG는 근본적으로 외부 지식 접근 파이프라인의 보안에 관한 것이라고 제안합니다. 우리는 LLM의 고유한 결함과 RAG가 도입하거나 증폭시키는 위협을 구분하기 위한 기준을 제시합니다. 이러한 관점에 따라, 우리는 RAG 워크플로우를 여섯 단계로 나누고, 사전 검색 지식 변조, 검색 과정에서의 접근 조작, 후속 맥락 활용, 지식 유출을 포함하는 세 가지 신뢰 경계와 네 가지 주요 보안 영역을 중심으로 기존 연구를 분석합니다. 우리는 해당 공격, 방어 전략, 해결 방안 및 평가 지표를 체계적으로 검토하여 현재 방어 기술이 대부분 반응적이고 단편적임을 밝혀냅니다. 마지막으로, 우리는 이러한 격차를 논의하고, 전체 지식 접근 수명 주기 전반에 걸친 계층적이고 경계 인식적인 보호를 위한 미래 연구 방향을 제시합니다.

Retrieval-augmented generation (RAG) significantly enhances large language models (LLMs) but introduces novel security risks through external knowledge access. While existing studies cover various RAG vulnerabilities, they often conflate inherent LLM risks with those specifically introduced by RAG. In this paper, we propose that secure RAG is fundamentally about the security of the external knowledge-access pipeline. We establish an operational boundary to separate inherent LLM flaws from RAG-introduced or RAG-amplified threats. Guided by this perspective, we abstract the RAG workflow into six stages and organize the literature around three trust boundaries and four primary security surfaces, including pre-retrieval knowledge corruption, retrieval-time access manipulation, downstream context exploitation, and knowledge exfiltration. By systematically reviewing the corresponding attacks, defenses, remediation mechanisms, and evaluation benchmarks, we reveal that current defenses remain largely reactive and fragmented. Finally, we discuss these gaps and highlight future directions toward layered, boundary-aware protection across the entire knowledge-access lifecycle.