OTAD: An Optimal Transport-Induced Robust Model for Agnostic Adversarial Attack

이 논문은 최적 수송 이론에서 유도된 정규화와 볼록 통합 문제를 통해 국소 리프시츠 연속성을 보장하면서도 훈련 데이터를 정확하게 적합할 수 있는 새로운 2 단계 적대적 방어 모델 OTAD 를 제안하여 기존 방법들의 한계를 극복하고 다양한 데이터셋에서 우수한 성능을 입증했습니다.

핵심

🎭 1. 문제: "눈가림 장난"에 속아넘어가는 AI

우리가 사용하는 AI(딥러닝) 는 매우 똑똑해 보이지만, 사실은 아주 작은 함정에 쉽게 넘어갑니다.

• 상황: AI 가 '고양이'라고 인식하는 사진을 상상해 보세요.
• 공격: 해커는 그 사진의 픽셀 몇 개를 아주 미세하게, 인간의 눈에는 보이지 않게 변형시킵니다.
• 결과: AI 는 그 사진을 보고 "이건 더 이상 고양이가 아니라 '비행기'야!"라고 완전히 엉뚱한 대답을 합니다.

기존의 방어법들은 이 '눈가림 장난'을 막기 위해 AI 를 훈련시키는 방식인데, 해커가 더 똑똑해지면 AI 도 다시 무너지는 '고양이와 쥐'의 게임이 계속됩니다.

🛡️ 2. 해법: OTAD(최적 수송 기반 방어)

이 논문은 **"AI 가 단순히 정답을 외우는 게 아니라, 주변의 맥락을 보고 '원칙'에 따라 판단하게 만들자"**고 제안합니다. 이를 OTAD라고 부릅니다.

OTAD 는 두 단계로 이루어진 마법 같은 과정입니다.

1 단계: 지도 그리기 (데이터 학습)

먼저 AI 가 데이터를 보고 특징을 추출합니다. 이때 중요한 것은, AI 가 **데이터와 그 특징 사이의 '매끄러운 지도'**를 그리도록 훈련시킨다는 점입니다.

• 비유: 마치 지도 제작자가 산과 강을 그릴 때, 갑자기 벽이 튀어나오거나 구멍이 뚫리는 불규칙한 지도를 그리지 않고, **자연스러운 지형 (매끄러운 곡선)**을 그리도록 하는 것과 같습니다.

2 단계: 규칙 적용 (방어)

이제 공격이 들어오면, AI 는 그 불규칙한 지도를 바로 믿지 않습니다. 대신 **"주변의 이웃들 (Training Data)"**을 봅니다.

• 상황: 누군가 "이건 비행기야!"라고 외치며 사진을 댕겨왔다고 칩시다.
• OTAD 의 행동: "잠깐, 이 사진의 바로 옆에 있는 10 개의 사진들은 모두 '고양이'야. 그리고 이 사진은 그 고양이들로부터 너무 멀어지면 안 돼. **이웃들과의 거리가 일정하게 유지되는 '원칙 (리프시츠 연속성)'**을 지키면서 답을 찾아야 해."
• 결과: AI 는 공격자가 만든 불규칙한 함정 (변형된 픽셀) 을 무시하고, 주변 이웃들의 흐름을 따라 자연스럽게 '고양이'라고 판단합니다.

🏗️ 3. 핵심 기술: "부드러운 연결"과 "빠른 계산"

이 논문은 두 가지 중요한 아이디어를 섞었습니다.

1. 최적 수송 (Optimal Transport):

   • 비유: 물건을 A 지점에서 B 지점으로 옮길 때, 가장 효율적이고 낭비 없는 길을 찾는 것을 말합니다. OTAD 는 데이터를 특징으로 옮길 때, 이 '가장 효율적이고 매끄러운 길'을 따르도록 AI 를 훈련시킵니다. 이렇게 하면 AI 는 갑자기 꺾이지 않는 부드러운 결정 경계를 갖게 되어, 작은 교란에도 흔들리지 않습니다.

2. Convex Integration Problem (볼록 통합 문제) 해결:

   • 문제: 이 '매끄러운 지도'를 수학적으로 계산하는 과정은 매우 느립니다. 마치 복잡한 미로를 직접 하나하나 풀어서 나가는 것처럼요.
   • 해결: 연구진은 이 느린 과정을 대신할 **전용 AI (CIP-net)**를 만들었습니다. 이 AI 는 수학적 계산기를 대신해서, "이런 상황에서는 보통 이렇게 답이 나오더라"라고 빠르게 추측해냅니다.
   • 효과: 계산 속도가 수천 배 빨라져서, 실시간으로 AI 를 보호할 수 있게 되었습니다.

🚀 4. 왜 이것이 특별한가요?

기존의 방어법들은 다음과 같은 한계가 있었습니다:

• 과도한 훈련: 특정 공격만 막을 수 있고, 새로운 공격에는 무방비입니다.
• 성능 저하: 방어하느라 AI 의 원래 지능 (정확도) 이 떨어집니다.

하지만 OTAD는:

• 강력한 방어: 다양한 공격 (이미지, 유전자 데이터, 산업 데이터 등) 에 대해 매우 강력하게 방어합니다.
• 원래의 능력 유지: 방어하면서도 AI 가 원래 가진 똑똑함 (정확도) 을 잃지 않습니다.
• 유연성: 복잡한 이미지 (ViT) 나 간단한 숫자 (ResNet) 등 다양한 AI 구조에 적용 가능합니다.

📝 요약

OTAD는 AI 를 "공격에 약한 천재"에서 "작은 함정에도 흔들리지 않는 현명한 지혜자"로 바꾸는 방법입니다.

• 핵심: AI 가 답을 외우는 게 아니라, 주변 이웃들과의 관계를 유지하며 매끄럽게 판단하도록 가르칩니다.
• 비유: 마치 폭풍이 몰아쳐도 뿌리가 깊고 주변 나무들과 연결된 숲은 흔들리지 않는 것처럼, OTAD 는 AI 를 주변의 데이터 흐름에 단단히 묶어 해커의 작은 교란을 무력화시킵니다.

이 기술은 AI 가 더 안전하고 신뢰할 수 있게 만들어, 자율주행차나 의료 진단 같은 중요한 분야에서 AI 를 사용할 수 있는 길을 열어줍니다.

기술 요약

논문 요약: OTAD (Optimal Transport-Induced Adversarial Defense)

1. 문제 정의 (Problem)

심층 신경망 (DNN) 은 입력 데이터의 작은 적대적 교란 (adversarial perturbations) 에 매우 취약하여 신뢰성과 견고성 (robustness) 에 심각한 위협이 됩니다. 기존 방어 기법들은 다음과 같은 한계를 가집니다.

• 적대적 훈련 (Adversarial Training): 특정 공격에는 강하지만, 더 강력한 새로운 공격 (unseen attacks) 에는 취약하며, '고양이와 쥐'의 게임 (cat-and-mouse game) 을 반복하게 됩니다.
• 리프시츠 네트워크 (Lipschitz Networks): 미지의 교란에 대해 인증된 견고성을 제공하지만, 엄격한 리프시츠 제약으로 인해 모델의 표현력 (expressive power) 이 부족하여 단순한 데이터셋 (예: CIFAR10) 에서조차 성능이 저하됩니다.

이러한 문제점을 해결하기 위해, 훈련 데이터에 정확하게 적합하면서도 국소적 리프시츠 연속성 (local Lipschitz continuity) 을 유지하는 새로운 방어 모델이 필요합니다.

2. 방법론 (Methodology)

저자들은 OTAD(Optimal Transport-Induced Adversarial Defense) 라는 2 단계 모델을 제안합니다. 이 모델은 최적 수송 (Optimal Transport, OT) 이론의 규칙성 (regularity) 을 활용하여 DNN 의 취약점을 보완합니다.

단계 1: 이산 최적 수송 지도 학습 (Discrete Optimal Transport Map Learning)

• ResNet 또는 Transformer 사용: 잔여 연결 (residual connections) 을 가진 DNN 을 훈련시켜 데이터를 특징 (feature) 공간으로 매핑합니다.
• 정규화 (Regularization): 최적 수송 이론에 기반한 정규화 항 (에너지 함수) 을 추가하여, ResNet 이 Wasserstein 측지선 (geodesics) 을 근사하도록 유도합니다.
• 결과: 훈련 데이터 $(x_i)$ 를 해당 특징 $(z_i)$ 으로 매핑하는 이산 최적 수송 지도 $T$ 를 얻습니다. 이 단계에서는 표준 DNN 을 사용하므로 높은 훈련 정확도를 달성합니다.

단계 2: 볼록 통합 문제 (CIP) 를 통한 견고한 출력 도출

• 국소 리프시츠 성질 보장: 최적 수송 지도는 볼록 함수의 기울기 ($\nabla \phi$) 로부터 유도되므로, 특정 조건 하에서 국소적으로 리프시츠 연속성을 가집니다.
• CIP (Convex Integration Problem) 해결: 테스트 입력 $x'$ 에 대해, 훈련 집합의 $K$ 개 최근접 이웃 (neighbors) 과 그 특징들을 기반으로, 국소 리프시츠 조건을 만족하는 새로운 특징 $y$ 를 찾습니다.
  • 이는 이차 제약 프로그래밍 (Quadratically Constrained Program, QCP) 문제로 공식화됩니다.
  • QCP 를 풀어 $x'$ 에 대한 견고한 특징 $z'$ 를 계산한 후, 분류기에 입력합니다.
• 효율성 개선 (CIP-net): QCP 솔버 (예: MOSEK) 는 계산 비용이 높으므로, 학습된 Transformer 기반 신경망인 CIP-net을 훈련시켜 QCP 해를 근사하도록 하여 추론 속도를 획기적으로 높였습니다.

확장성:

• 메트릭 학습 (Metric Learning): 고차원 공간에서 $l_2$ 거리의 한계를 극복하기 위해, 이웃을 찾기 위해 학습 가능한 메트릭 (Deep Metric Learning) 을 도입하여 더 정확한 이웃을 탐색합니다.
• 아키텍처: ResNet 기반 모델과 Vision Transformer (ViT) 기반 모델 (OTAD-T) 모두에 적용 가능합니다.

3. 주요 기여 (Key Contributions)

1. 새로운 방어 패러다임: 훈련 과정 내내 리프시츠 제약을 부과하는 대신, 최적 수송 지도의 규칙성을 활용하여 추론 단계에서 국소 리프시츠 성질을 보장하는 2 단계 모델을 제안했습니다.
2. 이론적 기반: DNN 의 잔여 연결이 ODE 의 이산화로 볼 수 있으며, 이는 최적 수송 지도를 근사한다는 이론적 통찰을 바탕으로 견고성을 증명했습니다.
3. 효율적인 추론: 복잡한 볼록 통합 문제 (CIP) 를 신경망 (CIP-net) 으로 대체하여, 기존 최적화 솔버의 계산 병목 현상을 해결하고 빠른 추론을 가능하게 했습니다.
4. 범용성: 이미지 (MNIST, CIFAR10, ImageNet), 단일 세포 전사체학 데이터, 산업용 표본 데이터 등 다양한 데이터 유형과 아키텍처 (ResNet, Transformer) 에 적용 가능함을 입증했습니다.

4. 실험 결과 (Results)

• 다양한 공격에 대한 견고성:
  • MNIST: 적응형 CW 공격 (gradient-free), BPDA+PGD, Square Attack 등 다양한 공격에서 기존 적대적 훈련 방법 및 Lipschitz 네트워크 (SOC+, $l_\infty$-dist net) 보다 우수한 견고 정확도 (Robust Accuracy) 를 기록했습니다.
  • CIFAR10 및 ImageNet: OTAD-T 는 DiffPure(확산 모델 기반 정화) 와 경쟁할 수 있는 견고성을 보였으며, 특히 미지의 공격 (unseen threats) 에 대해 기존 적대적 훈련 방법보다 훨씬 우월한 성능을 발휘했습니다.
• 계산 효율성: CIP-net 을 사용한 OTAD-T-NN 은 QCP 솔버를 사용하는 OTAD-T 대비 추론 시간이 수천 배 빨라졌습니다 (예: CIFAR10 에서 1.96 초 $\rightarrow$ 0.0046 초).
• 메트릭 학습의 효과: 단순한 $l_2$ 거리 대신 학습된 메트릭을 사용하면 복잡한 데이터셋에서 이웃 탐색의 정확도가 향상되어 전체 성능이 개선되었습니다.
• 한계: 매우 복잡하거나 노이즈가 많은 합성 데이터셋에서는 이웃에 오해석된 정보가 포함되어 성능이 저하될 수 있으나, 일반적인 실세계 데이터에서는 우수한 성능을 보입니다.

5. 의의 및 결론 (Significance)

OTAD 는 적대적 공격에 대한 DNN 의 취약성을 해결하기 위한 새로운 길을 제시합니다.

• 이론과 실용의 결합: 최적 수송 이론의 수학적 우아함 (규칙성) 과 현대적인 DNN 아키텍처 (ResNet, Transformer) 의 표현력을 결합하여, 이론적으로 보장된 견고성과 높은 정확도를 동시에 달성했습니다.
• 그라디언트 오버시 (Gradient Obfuscation) 가 아님: CIP-net 을 사용한 모델도 AutoAttack 과 같은 강력한 그라디언트 기반 공격에 견고함을 유지하므로, 견고성이 단순히 그라디언트를 숨기는 것에서 비롯된 것이 아님을 입증했습니다.
• 미래 지향성: 이 연구는 DNN 의 내재적 특성 (implicit bias) 과 최적 수송의 규칙성을 활용한 견고한 딥러닝 시스템 개발의 토대를 마련했습니다.

결론적으로, OTAD 는 기존 방어 기법들의 단점을 보완하며, 복잡한 데이터와 다양한 공격 환경에서도 신뢰할 수 있는 AI 시스템을 구축할 수 있는 강력한 프레임워크입니다.