p²RAG: 임의의 상위 k개 검색을 지원하는 개인 정보 보호 RAG 서비스

$p^2$RAG: Privacy-Preserving RAG Service Supporting Arbitrary Top-$k$ Retrieval

검색 증강 생성(RAG)은 대규모 언어 모델이 외부 지식을 활용할 수 있도록 하지만, RAG 서비스를 외부로 위탁하는 경우 데이터 소유자와 사용자 모두에게 개인 정보 보호 문제가 발생합니다. 개인 정보 보호 RAG 시스템은 안전한 상위 k개 검색을 수행하여 이러한 문제를 해결하며, 일반적으로 관련 문서를 식별하기 위한 안전한 정렬 방식을 사용합니다. 그러나 기존 시스템은 k 값을 변경할 수 없거나 새로운 보안 문제가 발생하거나 k 값이 큰 경우 효율성이 저하되어 임의의 k 값을 지원하는 데 어려움을 겪습니다. 이는 중요한 제한 사항이며, 현대의 장문 컨텍스트 모델은 일반적으로 더 큰 검색 집합을 사용할 때 더 높은 정확도를 달성합니다. 본 논문에서는 임의의 상위 k개 검색을 지원하는 개인 정보 보호 RAG 서비스인 p²RAG를 제안합니다. 기존 시스템과 달리, p²RAG는 후보 문서를 정렬하지 않고, 대신 상위 k개 문서 집합을 결정하기 위해 대화형 이분법 방법을 사용합니다. 보안을 위해 p²RAG는 데이터 소유자의 데이터베이스와 사용자의 프롬프트를 보호하기 위해 두 개의 반쯤 정직한 비협조 서버에서 비밀 분할을 사용합니다. 또한 악의적인 사용자로부터 보호하기 위한 제한 및 검증을 적용하고 데이터베이스의 정보 유출을 엄격하게 제한합니다. 실험 결과에 따르면 p²RAG는 k = 16~1024인 경우 최첨단 PRAG보다 3~300배 빠릅니다.

Retrieval-Augmented Generation (RAG) enables large language models to use external knowledge, but outsourcing the RAG service raises privacy concerns for both data owners and users. Privacy-preserving RAG systems address these concerns by performing secure top-$k$ retrieval, which typically is secure sorting to identify relevant documents. However, existing systems face challenges supporting arbitrary $k$ due to their inability to change $k$, new security issues, or efficiency degradation with large $k$. This is a significant limitation because modern long-context models generally achieve higher accuracy with larger retrieval sets. We propose $p^2$RAG, a privacy-preserving RAG service that supports arbitrary top-$k$ retrieval. Unlike existing systems, $p^2$RAG avoids sorting candidate documents. Instead, it uses an interactive bisection method to determine the set of top-$k$ documents. For security, $p^2$RAG uses secret sharing on two semi-honest non-colluding servers to protect the data owner's database and the user's prompt. It enforces restrictions and verification to defend against malicious users and tightly bound the information leakage of the database. The experiments show that $p^2$RAG is 3--300$\times$ faster than the state-of-the-art PRAG for $k = 16$--$1024$.