Forging the Unforgeable: On the Feasibility of Counterfeit Watermarks in Backdoor-Based Dataset Ownership Verification

본 논문은 백도어 기반 데이터셋 소유권 검증 기법의 근본적 결함을 지적하며, 공격자가 원본과 통계적으로 구별 불가능한 위조 워터마크를 생성하여 저작권 침해 주장을 무력화할 수 있음을 실험을 통해 입증합니다.

핵심

이 논문은 **"AI 모델이 특정 데이터를 훔쳐 썼는지 증명하는 방법"**에 치명적인 구멍이 있다는 것을 발견한 놀라운 연구입니다.

쉽게 비유하자면, **"누군가 내 책을 훔쳐 썼다고 고소할 때, 그 사람이 내 책과 똑같은 '위조된 도장'을 만들어서 "아니요, 이건 제가 먼저 만든 거예요"라고 반박하는 상황"**이라고 생각하시면 됩니다.

자세한 내용을 일상적인 언어로 풀어서 설명해 드릴게요.

---

1. 배경: "AI 의 저작권은 어떻게 지키나요?"

요즘 AI 는 엄청난 양의 데이터를 먹고 배웁니다. 그런데 이 데이터를 만드는 데는 엄청난 시간과 돈이 듭니다. 그래서 데이터 소유자들은 **"내 데이터를 훔쳐 쓴 AI 를 잡아야 해!"**라고 생각합니다.

현재 가장 많이 쓰는 방법은 **'백도어 워터마킹 (Backdoor Watermarking)'**입니다.

• 비유: 데이터 소유자가 자신의 책 (데이터) 에 **보이지 않는 특수 잉크 (트리거)**를 살짝 찍어둡니다.
• 검증: 누군가 이 책으로 만든 AI 가 이 특수 잉크가 찍힌 그림을 보면, "이건 내 책에서 배운 거야!"라고 특정 반응을 보이면, "아하! 이 AI 는 내 데이터를 훔쳐 썼구나!"라고 증명하는 방식입니다.

2. 문제: "그게 정말 확실한 증거일까?"

연구자들은 이 방식에 큰 의문을 품었습니다. **"혹시 훔쳐 쓴 사람이, 내 특수 잉크와 똑같은 반응을 일으키는 '가짜 잉크'를 만들어서 나를 속일 수 있지 않을까?"**라고요.

이 논문은 바로 그 가능성을 증명했습니다.

3. 해결책 (공격 방법): "가짜 도장 만들기 (FW-Gen)"

저자들은 FW-Gen이라는 새로운 도구를 개발했습니다. 이 도구의 역할은 다음과 같습니다.

1. 수색: 먼저, 데이터 소유자가 넣은 '진짜 특수 잉크'가 어디에 있는지 찾아냅니다. (대부분의 경우 99% 이상 정확하게 찾습니다.)
2. 모방: 그 '진짜 잉크'가 AI 에게 어떤 반응을 일으키는지 분석합니다.
3. 위조: 하지만 완전히 다른 모양의 '가짜 잉크'를 만들어냅니다.
   • 중요한 점: 이 가짜 잉크는 진짜 잉크와 생김새는 완전히 다르지만, AI 가 보았을 때 반응은 100% 똑같습니다.

비유:

• 진짜: 내가 만든 책에 '빨간 점'을 찍어두었습니다.
• 가짜: 훔쳐 쓴 사람이 '파란 점'을 찍었습니다.
• 결과: AI 가 빨간 점을 보면 "내 책이야!"라고 외치고, 파란 점을 봐도 똑같이 "내 책이야!"라고 외칩니다.
• 법정 상황: "누가 먼저 찍었는지"를 증명할 수 없는 한, 법정은 "파란 점도 내 책에서 배운 거일 수 있지 않나?"라고 의심하게 됩니다. 결국 저작권 침해 주장이 무너집니다.

4. 실험 결과: "가짜가 진짜보다 더 강력할 수도 있다"

저자들은 6 가지 다른 워터마킹 기술과 2 개의 큰 데이터셋으로 실험을 했습니다. 결과는 충격적이었습니다.

• 통계적으로 가짜 워터마킹이 진짜 워터마킹과 구별할 수 없을 정도로 똑같은 증거를 만들어냈습니다.
• 오히려 어떤 경우에는 가짜 워터마킹이 진짜보다 더 강력한 통계적 증거를 보여주기도 했습니다.
• 즉, **"AI 가 특정 반응을 보인다는 사실만으로는, 누가 먼저 데이터를 썼는지 증명할 수 없다"**는 결론이 나왔습니다.

5. 결론 및 제언: "무엇을 해야 할까?"

이 연구는 현재 AI 저작권 보호 방식이 혼자서는 법적 증거로 부족하다고 경고합니다.

• 현재의 문제: "내가 먼저 찍었다"는 시간적 증거 (타임스탬프) 가 없으면, 가짜를 만든 사람도 "내가 먼저 찍었다"고 주장할 수 있습니다.
• 해결책 제안:
  • 블록체인 타임스탬프: 데이터에 워터마킹을 찍을 때, 블록체인 같은 변조 불가능한 곳에 "이 시점에 찍었다"는 기록을 남기는 것이 필수적입니다.
  • 더 복잡한 방어: 단순히 반응만 보는 게 아니라, 더 복잡하고 위조하기 어려운 방식을 개발해야 합니다.

요약

이 논문은 **"AI 데이터 도용을 잡는 현재의 방법 (워터마킹) 은 위조가 너무 쉬워서, 법정에서 혼자서 증거로 쓰이기 어렵다"**고 말합니다. 마치 도장만 보고는 위조 여부를 알 수 없는 것과 같아서, **"언제 찍었는지 증명하는 시간 기록"**이 반드시 함께 있어야만 진정한 소유권을 주장할 수 있다는 교훈을 줍니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 배경: 대규모 AI 모델의 발전으로 고품질 데이터셋의 가치가 높아졌으나, 무단 도용 및 상업적 이용 문제가 발생하고 있습니다. 이를 해결하기 위해 백도어 워터마킹 (Backdoor Watermarking) 이 데이터 소유권 검증 (DOV, Dataset Ownership Verification) 의 주요 수단으로 채택되었습니다. 이는 데이터셋의 일부 샘플에 특정 트리거 (Trigger) 를 삽입하고, 의심스러운 모델이 해당 트리거에 대해 사전 정의된 동작 (백도어 행동) 을 보이면 소유권을 인정하는 방식입니다.
• 핵심 문제: 기존 연구는 DOV 결과가 저작권 침해 주장의 확실한 증거라고 가정하지만, 저자들은 이 가정이 근본적으로 결함이 있다고 주장합니다.
  1. 시간적 결합 (Temporal Binding) 의 부재: 대부분의 워터마킹 방식은 데이터 소유자가 워터마크를 먼저 생성했다는 것을 증명할 수 있는 불변의 시간 기록 (예: 블록체인) 을 제공하지 않습니다.
  2. 비현실적인 적대적 가정: 현재 방식은 피고인이 침범 사실을 수동적으로 인정한다고 가정합니다. 하지만 실제로는 피고인이 자신의 모델을 보호하기 위해 반증할 강력한 동기가 있습니다.
• 연구 목표: 공격자가 원본 워터마크와 통계적으로 구별 불가능하지만 시각적으로 다른 위조 워터마크 (Forged Watermark) 를 생성하여, 소유권 주장에 대한 합리적 의심을 제기하고 법적 분쟁을 무력화할 수 있는지 검증하는 것입니다.

2. 제안된 방법론 (Methodology)

저자는 FW-Gen (Forged Watermark Generator) 이라는 경량화된 프레임워크를 제안하여 위조 공격을 수행합니다.

• 위협 모델 (Threat Model):

  • 공격자는 저작권 침해 혐의를 받은 후, 공개된 데이터셋 ($D_p$) 에서 워터마크가 삽입된 샘플을 탐지하고 추출할 수 있습니다.
  • 공격자는 자신의 모델 ($\tilde{f}$) 에 대한 완전한 제어 권한을 가지며, 원본 워터마크의 타겟 레이블을 추론할 수 있습니다.
  • 공격자는 깨끗한 데이터로 별도의 benign 모델을 훈련시킬 수 있습니다.

• FW-Gen 아키텍처:

  • 구조: 경량화된 변분 오토인코더 (VAE) 를 기반으로 합니다.
  • 입력: 랜덤 노이즈를 입력받아 원본과 시각적으로 구별되는 새로운 워터마크 ($t_{fw}$) 를 생성합니다.
  • 학습 목적 (Dual Loss):
    1. Benign Model Loss ($L_B$): 위조 워터마크가 깨끗한 모델 (Benign Model) 에서는 원본 워터마크와 동일한 정상적인 동작을 하도록 하여, 위조 사실이 탐지되지 않도록 합니다.
    2. Suspicious Model Loss ($L_W$): 위조 워터마크가 공격자의 의심스러운 모델 ($\tilde{f}$) 에서는 원본 워터마크와 동일한 백도어 행동 (타겟 레이블 분류) 을 하도록 지식 증류 (Knowledge Distillation) 기법을 적용합니다.
  • 결과: 원본 워터마크와 시각적으로 완전히 다르지만, 통계적 검정 (가설 검정) 결과에서는 원본과 구별할 수 없는 동일한 유의성을 가지는 가짜 증거를 생성합니다.

3. 주요 기여 (Key Contributions)

1. 백도어 워터마킹의 근본적 한계 규명: 시간적 결합의 부재와 행동적 동등성 (Behavioral Equivalence) 이 위조 공격을 가능하게 하는 두 가지 핵심 취약점임을 형식화했습니다.
2. FW-Gen 프레임워크 제안: 원본의 통계적 속성을 유지하면서 시각적 패턴은 다르게 만드는 워터마크 위조 생성기를 개발했습니다.
3. 이론적 증명 (Theorem 1): 행동 검증 (Behavioral Verification) 만 의존하는 DOV 방식은 본질적으로 위조 공격에 취약함을 수학적으로 증명했습니다. 즉, 원본과 행동이 동일한 다른 워터마크가 존재하면 DOV 결과는 모호해집니다.
4. 광범위한 실험적 검증: 6 가지 백도어 워터마킹 방법, 2 개의 벤치마크 데이터셋 (CIFAR-10, ImageNet), 2 가지 모델 아키텍처 (ResNet, VGG) 를 통해 위조 워터마크가 원본과 동등하거나 더 우수한 통계적 유의성을 가짐을 입증했습니다.

4. 실험 결과 (Results)

• 워터마크 탐지 (RQ1): 주파수 영역 분석을 통해 대부분의 워터마킹 방법 (BadNets 제외) 에서 99% 이상의 정확도로 워터마크가 삽입된 샘플을 추출할 수 있음을 확인했습니다.
• 통계적 동등성 (RQ2):
  • 가설 검정: 도용 모델 (Stealing Model) 시나리오에서 위조 워터마크는 원본과 마찬가지로 매우 낮은 p-value 를 보여 침범을 강력하게 지지했습니다. 독립 모델 (Independent Model) 시나리오에서는 원본과 마찬가지로 p-value 가 높게 나와 정상임을 증명했습니다.
  • 성능 비교: 위조 워터마크의 성공률 (FWSR) 은 원본 워터마크 성공률 (OWSR) 과 비슷하거나, 경우에 따라 (예: Blended Line) 더 높은 성능을 보였습니다.
• 시각적 구별성: PSNR, SSIM, MSE 지표를 통해 원본과 위조 워터마크가 시각적으로 명확하게 다름을 확인했습니다. LIME 분석을 통해 두 워터마크가 모델의 예측에 영향을 미치는 영역 (Attention Region) 이 서로 다르게 작용함을 보였습니다.
• Ablation Study: $L_W$(의심 모델 손실) 와 $L_B$(benign 모델 손실) 가 모두 위조 성공에 필수적임을 확인했습니다. 특히 $L_B$가 없으면 위조 워터마크가 benign 모델에서도 이상 동작을 일으켜 탐지될 위험이 큽니다.

5. 의의 및 결론 (Significance & Conclusion)

• 법적/실무적 함의: 현재 백도어 기반 DOV 결과는 저작권 분쟁에서 단독 증거 (Standalone Evidence) 로서 불충분함을 시사합니다. 위조 공격이 가능하기 때문에, 소유권 주장만으로는 침범을 입증할 수 없습니다.
• 대응 방안 제안:
  • 암호학적 타임스탬프: 워터마크 생성 시점을 블록체인이나 신뢰할 수 있는 기관에 기록하여 시간적 우선권을 증명해야 합니다.
  • 다중 워터마킹 및 행동 다양성: 단일 패턴이 아닌 복잡한 행동 시그니처나 다중 워터마크를 도입하여 위조 난이도를 높여야 합니다.
• 결론: 이 연구는 AI 데이터 보호 메커니즘의 보안성을 재고하게 만들었으며, 향후 더 견고한 (Forgery-Resistant) 데이터 소유권 검증 체계 개발의 필요성을 강조합니다.

---

요약: 본 논문은 백도어 워터마킹이 데이터 소유권 검증에 사용될 때, 공격자가 원본과 통계적으로 동일하지만 시각적으로 다른 가짜 워터마크를 만들어 소유권 주장을 무효화할 수 있음을 최초로 증명했습니다. 이는 현재 DOV 방식의 치명적 취약점을 드러내며, 향후 데이터 보호를 위해 시간적 증명 (타임스탬프) 등 추가적인 보안 장치가 필수적임을 시사합니다.