Privacy Against Agnostic Inference Attacks in Vertical Federated Learning

이 논문은 수직 연방 학습 (VFL) 에서 활성 당사자가 라벨 없이도 독립적으로 학습한 모델을 통해 수동 당사자의 특징에 대한 추론 공격을 수행할 수 있음을 규명하고, 이에 대응하여 수동 당사자의 프라이버시와 모델 해석 가능성 간의 균형을 조절할 수 있는 새로운 프라이버시 보호 기법을 제안합니다.

핵심

1. 상황 설정: 은행과 핀테크의 손잡기 (수직 연방 학습)

상상해 보세요. **은행 (Active Party)**과 **핀테크 회사 (Passive Party)**가 손잡고 있습니다.

• 은행: 고객들의 이름, 나이, 소득, 그리고 **"대출을 승인했는지 거절했는지 (정답)"**를 알고 있습니다. 하지만 고객의 쇼핑 기록이나 계좌 잔고는 모릅니다.
• 핀테크: 같은 고객들의 쇼핑 기록과 계좌 잔고는 가지고 있지만, 대출 승인 여부는 모릅니다.

이 두 회사가 합쳐서 더 정확한 신용 평가 AI를 만들고 싶어 합니다. 이때, 서로의 비밀 (데이터) 을 그대로 주고받지 않고, AI 모델만 함께 훈련시키는 것이 **'수직 연방 학습'**입니다.

2. 새로운 위협: "모르는 척" 하는 스파이 (무지성 추론 공격)

기존에는 은행이 핀테크에게 "이 고객의 점수는 얼마야?"라고 물어보면, 핀테크가 점수를 알려주고 은행이 그 점수를 분석해 비밀을 알아내는 공격이 있었습니다.

하지만 이 논문은 더 교활한 새로운 공격을 발견했습니다.

• 공격자의 전략: 은행은 "점수를 알려달라고 하지 않더라도" 이미 가진 정보 (고객의 나이, 소득, 그리고 과거 대출 승인 여부) 를 이용해 **스스로 똑똑한 AI(적대적 모델)**를 훈련시킵니다.
• 공격의 핵심: 이 스스로 만든 AI 는 "아, 이 사람은 대출이 승인될 확률이 높겠구나"라고 점수를 미리 예측해냅니다.
• 결과: 은행은 핀테크에게 점수를 물어보지 않아도, 스스로 예측한 점수를 이용해 핀테크가 가진 비밀 정보 (쇼핑 기록 등) 를 역추적해낼 수 있습니다.
  • 비유: 은행이 "이 사람이 대출을 받았나?"라는 정답을 알고 있으면서, "내가 이 사람의 쇼핑 기록을 추측해 볼게"라고 스스로 AI 를 만들어서 비밀을 털어내는 것입니다.
  • 이 공격을 **'무지성 (Agnostic) 공격'**이라고 부릅니다. 왜냐하면 공격 대상의 실제 점수를 '모른다 (Agnostic)'는 전제하에 공격하기 때문입니다.

3. 방어 전략: 모델을 살짝 비틀기 (개인정보 보호 기법)

그렇다면 어떻게 막을 수 있을까요? 핀테크 회사가 데이터를 아예 안 준다면 (블랙박스), 은행은 모델을 이해할 수 없어 (해석 불가) 대출 심사를 할 수 없습니다.

이 논문은 완벽한 비밀 유지와 모델의 이해 가능성 사이의 균형을 찾는 **새로운 방어책 (PPS)**을 제안합니다.

• 방어 방법: 핀테크는 은행에게 진짜 모델 파라미터 (비밀 키) 를 그대로 주지 않고, 수학적으로 살짝 '비틀어서 (Distortion)' 줍니다.
  • 비유: 은행에게 주는 열쇠가 진짜 열쇠가 아니라, 약간 구부러진 열쇠인 셈입니다.
• 효과:
  1. 은행의 입장: 구부러진 열쇠로 문을 열면 (예측을 하면) 문은 여전히 열립니다. 즉, 대출 심사 정확도는 유지됩니다. 하지만 은행은 "왜 이 열쇠가 구부러졌지?"라고 생각하며 정확한 비밀 (쇼핑 기록) 을 추측하는 것은 매우 어려워집니다.
  2. 핀테크의 입장: 자신의 비밀 데이터가 얼마나 많이 유출되었는지 (MSE, 평균 제곱 오차) 를 조절할 수 있습니다.
• 균형 (Trade-off):
  • 열쇠를 많이 구부리면 (비틀기 강함): 은행은 비밀을 거의 추측 못 하지만, "왜 이 열쇠가 이렇게 생겼지?"라고 이해하기 어렵습니다. (개인정보 보호 ↑, 해석 가능성 ↓)
  • 열쇠를 조금만 구부리면 (비틀기 약함): 은행은 비밀을 어느 정도 추측할 수 있지만, "아, 이 열쇠는 원래 이런 모양이었구나"라고 이해하기 쉽습니다. (개인정보 보호 ↓, 해석 가능성 ↑)

4. 실험 결과: 얼마나 효과가 있을까요?

연구진은 실제 데이터 (은행, 성인, 위성 데이터 등) 로 실험해 보았습니다.

1. 공격의 위력: 은행이 스스로 만든 AI 를 사용하면, 실제 점수를 몰라도 비밀 정보를 꽤 정확하게 추측해 낼 수 있었습니다. 특히 은행과 핀테크의 데이터가 서로 관련이 깊을수록 공격이 잘 먹혔습니다.
2. 방어의 효과: 제안된 '구부러진 열쇠 (비틀기)' 방식을 적용하자, 은행이 비밀을 추측하는 정확도가 급격히 떨어졌습니다.
3. 균형의 중요성: 너무 많이 비틀면 은행이 대출 심사를 못 하므로, 적당한 수준으로 비틀어서 은행은 업무를 계속하면서 고객 비밀은 지킬 수 있는 **'골든 존 (Golden Zone)'**을 찾을 수 있었습니다.

5. 요약: 이 논문이 우리에게 주는 메시지

• 문제: "정답 (레이블) 을 가진 사람"이 스스로 AI 를 만들어서, "비밀 데이터를 가진 사람"의 정보를 훔쳐볼 수 있는 새로운 공격이 존재합니다.
• 해결: 데이터를 아예 안 주는 게 아니라, 모델의 핵심 부분 (파라미터) 을 수학적으로 살짝 변형해서 주는 것이 해결책입니다.
• 핵심: 완벽한 비밀과 이해 가능한 결과는 상충됩니다. 이 논문의 제안은 두 당사자가 서로의 요구를 들어주며 적당한 타협점을 찾을 수 있도록 도와주는 '스마트한 방어 시스템'입니다.

결론적으로, 이 기술은 데이터를 공유하면서도 서로의 비밀을 지키고, 동시에 그 결과가 왜 그런지 설명할 수 있는 미래의 안전한 AI 협업 방식을 제시합니다.

기술 요약

이 논문은 수직 연방 학습 (Vertical Federated Learning, VFL) 환경에서 새로운 형태의 추론 공격인 **'무지각 (Agnostic) 추론 공격'**을 제안하고, 이에 대한 대응책으로 **개인정보 보호 기법 (Privacy-Preserving Schemes, PPS)**을 개발한 연구입니다.

주요 내용은 다음과 같습니다.

1. 문제 정의 (Problem)

• 배경: 수직 연방 학습 (VFL) 은 여러 당사자 (Active Party 와 Passive Party) 가 동일한 샘플에 대해 서로 다른 특성 (Features) 을 공유하여 모델을 공동으로 학습하는 방식입니다. Active Party 는 라벨 (Ground Truth) 을 보유하고 있고, Passive Party 는 추가적인 특성을 제공합니다.
• 기존 위협: 기존 연구들은 Active Party 가 예측 단계에서 Passive Party 에게서 받은 '신뢰도 점수 (Confidence Scores)'를 이용해 Passive Party 의 특성을 재구성하는 공격을 다뤘습니다.
• 새로운 위협 (무지각 추론 공격): 본 논문은 **공격 대상의 신뢰도 점수를 알지 못하는 상황 (Agnostic Setting)**에서도 공격이 가능함을 증명합니다.
  • Active Party 는 자신이 가진 라벨과 활성 특성 (Active Features) 만으로 독립적인 분류기 (Adversary Model, AM) 를 학습시킵니다.
  • 이 AM 을 통해 공격 대상 샘플의 신뢰도 점수를 추정하고, 이를 이용해 기존 선형 대수 기반 재구성 기법을 적용하여 Passive Party 의 민감한 특성을 추론해냅니다.
  • 이 공격은 예측 단계뿐만 아니라 학습 단계의 모든 샘플에도 적용 가능하므로, 기존 점수 기반 방어 기법 (노이즈 추가, 반올림 등) 을 우회할 수 있습니다.

2. 방법론 (Methodology)

A. 공격 기법 (Agnostic Inference Attack)

1. Adversary Model (AM) 구축: Active Party 는 라벨과 활성 특성만으로 로지스틱 회귀 (Logistic Regression) 모델을 독립적으로 학습합니다.
2. 정제된 AM (Refined AM, RAM): AM 의 정확도를 높이기 위해, CA(조정자) 로부터 받은 일부 예측 샘플의 실제 신뢰도 점수를 활용하여 AM 을 미세 조정 (Fine-tuning) 합니다. 이는 공격의 정확도를 크게 향상시킵니다.
3. 특성 재구성: 추정된 신뢰도 점수를 기반으로 선형 방정식 시스템을 구성하여 (과결정 또는 미결정 시스템), Passive Party 의 특성을 최소 제곱법 (Least Squares) 이나 Half* 방법 등을 통해 재구성합니다.

B. 방어 기법 (Privacy-Preserving Schemes, PPS)

기존의 점수 변조 방식은 무지각 공격에 무력하므로, 본 논문은 Passive Party 의 모델 파라미터 (Weights) 자체를 체계적으로 왜곡하는 방식을 제안합니다.

• 핵심 아이디어: Active Party 에게 전달되는 Passive 파라미터를 원본과 다르게 변형하되, 모델의 예측 성능 (Utility) 은 유지합니다.
• 구현 방식:
  • 직교 변환 (Orthogonal Transformation): 파라미터 행렬에 비밀 직교 행렬 (Secret Orthonormal Matrix) 을 곱하여 변환합니다.
  • 최적화 문제: 왜곡된 파라미터가 Active Party 에게 해석 가능성 (Interpretability) 을 어느 정도 유지하면서, 공격자의 재구성 오차 (MSE) 를 최대화하도록 설계합니다. 이는 Stiefel 매니폴드 (Stiefel Manifold) 상의 최적화 문제로 수식화됩니다.
• 트레이드오프: 파라미터 왜곡 수준 ($\epsilon$) 을 조절하여 **개인정보 보호 (Privacy)**와 모델 해석 가능성 (Interpretability) 사이의 균형을 맞춥니다.

3. 주요 기여 (Key Contributions)

1. 새로운 공격 모델 제안: 신뢰도 점수를 알지 못하는 상황에서도 성공적인 추론 공격이 가능함을 이론적으로 증명하고, 이를 '무지각 추론 공격'으로 명명했습니다.
2. RAM 의 효과 입증: 제한된 수의 예측 점수만으로도 AM 을 정제 (Refine) 하면 공격 성능이 비약적으로 향상됨을 실험적으로 보였습니다.
3. 파라미터 기반 방어 기법 개발: 점수 레벨이 아닌 모델 파라미터 레벨에서 왜곡을 가하는 새로운 PPS 를 제안했습니다. 이는 기존 방어 기법들이 우회할 수 없는 새로운 차원의 방어입니다.
4. 해석 가능성과 프라이버시의 균형: Active Party 가 모델 결과를 해석할 수 있는 수준을 유지하면서 Passive Party 의 프라이버시를 보호할 수 있는 최적화 프레임워크를 제시했습니다.

4. 실험 결과 (Results)

• 공격 성능: Bank, Adult, Satellite 등 다양한 실제 데이터셋에서 AM 을 이용한 공격이 점수를 알지 못하는 상황에서도 높은 재구성 정확도 (낮은 MSE) 를 보였습니다. 특히 RAM 을 사용하면 공격 성능이 기존 점수 기반 공격과 유사한 수준까지 향상되었습니다.
• 데이터 의존성: Active 특성과 Passive 특성 간의 상관관계가 높을수록 공격 성공률이 높아졌습니다. 반면, 특성이 거의 독립적인 Grid 데이터셋에서는 공격이 효과적이지 않았습니다.
• 방어 효과: 제안된 PPS 를 적용하면, 파라미터 왜곡 수준 ($\epsilon$) 을 높일수록 공격자의 재구성 오차 (MSE) 가 크게 증가하여 프라이버시가 보호됨을 확인했습니다.
• 해석 가능성 유지: 왜곡 수준을 적절히 조절하면, Active Party 가 모델의 의사결정 근거를 어느 정도 이해할 수 있는 수준 (Interpretability) 을 유지하면서도 프라이버시 위험을 줄일 수 있음을 보여주었습니다.

5. 의의 및 결론 (Significance)

• VFL 보안의 패러다임 전환: 기존에는 예측 점수 (Confidence Score) 의 유출을 막는 데 집중했으나, 본 논문은 모델 파라미터의 유출이 더 근본적인 위협이며, 이를 방어해야 함을 강조합니다.
• 실용적인 균형: 완전한 블랙박스 (Black-box) 설정은 프라이버시는 보호하지만 모델의 해석 가능성을 떨어뜨립니다. 본 논문은 화이트박스 (White-box) 와 블랙박스 사이의 균형 잡힌 접근법을 제시하여, 실제 금융, 의료 등 해석 가능성이 필수적인 분야에서 VFL 을 안전하게 활용할 수 있는 길을 열었습니다.
• 시스템 효율성: 제안된 PPS 는 학습 후 오프라인에서 한 번만 수행되며, 통신 오버헤드를 증가시키지 않아 실제 배포에 적합합니다.

요약하자면, 이 논문은 VFL 환경에서 Active Party 가 라벨과 자체 데이터만으로도 민감한 정보를 추론할 수 있는 새로운 위협을 규명하고, 모델 파라미터를 지능적으로 왜곡하여 프라이버시와 해석 가능성을 동시에 만족시키는 최적의 방어 전략을 제시한 중요한 연구입니다.