Adversarial Attacks in Weight-Space Classifiers

이 논문은 INR 파라미터 공간에서 작동하는 분류기가 표준 신호 공간 분류기보다 표준 백박스 공격에 대해 더 높은 robustness 를 보이지만, 이는 그라디언트 오블리피케이션 현상 때문이며 새로운 파라미터 공간 공격 기법을 통해 이러한 robustness 의 한계를 규명하고 분석합니다.

핵심

🎨 핵심 비유: "그림을 그리는 방식의 차이"

일반적인 인공지능 (기존 방식) 은 직접 그림을 보고 분류합니다.
예를 들어, 고양이 사진을 AI 에게 보여주면, AI 는 픽셀 하나하나를 보며 "이건 고양이구나"라고 판단합니다. 하지만 해커는 이 그림의 아주 미세한 픽셀을 살짝 바꿔서 (예: 눈썹 한 줄만 색을 바꿈), AI 가 "이건 개야!"라고 착각하게 만들 수 있습니다. 이를 적대적 공격 (Adversarial Attack) 이라고 합니다.

이 논문에서 연구한 새로운 방식 (가중치 공간 분류기) 은 조금 다릅니다.
이 방식은 그림 자체를 보지 않고, "그림을 그리는 법 (공식)"을 외워서 분류합니다.

1. 기존 방식: 고양이 사진을 직접 보고 분류.
2. 새로운 방식: 고양이 사진을 보고 "이 그림을 그리려면 이런 붓질과 색감 조합이 필요해"라는 공식 (파라미터) 을 먼저 만듭니다. 그리고 AI 는 이 공식을 보고 "아, 이 공식은 고양이 그림을 그리는 거구나"라고 분류합니다.

---

🛡️ 이 새로운 방식이 왜 더 안전한가? (핵심 발견)

연구진은 이 새로운 방식이 해킹에 훨씬 더 강하다는 놀라운 사실을 발견했습니다. 그 이유는 두 가지입니다.

1. "소음 제거기" 효과 (Gradient Obfuscation)

• 상황: 해커가 고양이 그림에 아주 미세한 소음 (악성 노이즈) 을 섞어서 해킹을 시도합니다.
• 기존 방식: AI 가 이 소음을 그대로 받아들여 "개"라고 잘못 판단합니다.
• 새로운 방식: AI 는 먼저 "이 그림을 그리는 공식"을 만들려고 노력합니다. 이때 인간이 그림을 그릴 때처럼, 전체적인 모양 (고양이 얼굴) 을 먼저 잡고, 아주 미세한 소음 (해커가 넣은 노이즈) 은 무시하고 버리는 경향이 있습니다.
  • 비유: 해커가 그림에 "이건 개야!"라고 속임수를 써서 작은 점들을 찍어놨는데, AI 가 그림을 그리는 과정에서 "아, 이 점들은 그림의 본질과 상관없는 잡음이야" 라고 생각하며 자동으로 지워버리는 것입니다.
  • 결과적으로, 해커가 넣은 악성 노이즈는 AI 가 분류하는 단계에 도달하기 전에 이미 사라져버립니다.

2. "해킹하기 너무 힘들어" (계산 비용)

• 해커가 이 새로운 AI 를 해킹하려면, 단순히 그림을 조금만 바꾸면 되는 게 아닙니다.
• 해커는 "어떤 그림을 바꾸면, AI 가 그리는 공식이 바뀔까?" 를 찾아야 합니다.
• 비유: 기존 AI 해킹은 "문 하나를 살짝 밀어서 들어가는 것"이라면, 이 새로운 AI 해킹은 "문 앞의 복잡한 미로 전체를 다시 설계해서, 그 미로가 바뀐 문으로 이어지게 만드는 것" 입니다.
• 이렇게 하려면 엄청난 계산 능력과 시간이 필요합니다. 해커 입장에서는 "이렇게까지 해서 해킹할 가치가 있나?" 싶을 정도로 어렵습니다.

---

🧪 연구 결과 요약

연구진은 이 이론을 증명하기 위해 여러 실험을 했습니다.

1. 2D 이미지 (MNIST 등) 테스트:

   • 기존 AI 는 해커가 그림을 살짝만 건드려도 60% 이상 틀렸습니다.
   • 하지만 새로운 방식 (공식 기반) 은 같은 공격을 받아도 거의 틀리지 않았습니다. 해커가 아주 강하게 공격해도 기존 AI 보다는 훨씬 견고했습니다.

2. 3D 데이터 (입체 모형) 테스트:

   • 3D 입체 모형 (예: 의자, 자동차 모형) 을 다룰 때도 같은 결과가 나왔습니다.
   • 특히 3D 데이터는 용량이 커서 기존 방식은 처리하기 힘들지만, 이 새로운 방식은 효율적이고 안전했습니다.

3. 약점 발견 (BPDA 공격):

   • 하지만 완벽한 것은 아닙니다. 해커가 "소음 제거기"를 우회하는 아주 똑똑한 방법 (BPDA) 을 쓰면, 여전히 해킹이 가능했습니다.
   • 즉, 해커가 아주 단순한 방법으로는 해킹 못 하지만, 아주 비싸고 복잡한 방법을 쓰면 뚫릴 수 있다는 뜻입니다. 하지만 그 비용이 너무 커서 현실적으로는 해킹하기 어렵다는 결론입니다.

---

💡 결론: 왜 이 연구가 중요한가?

이 논문은 "AI 를 더 안전하게 만드는 새로운 방법" 을 제시했습니다.

• 기존: AI 를 해킹하기 쉽게 만드는 방어법을 연구.
• 이 논문: AI 의 구조 자체를 해킹하기 어렵게 설계하는 것이 더 효과적임을 증명.

마치 집을 지을 때, 문에 자물쇠를 여러 개 채우는 것 (기존 방어) 보다, 집 자체가 미로처럼 설계되어 도둑이 들어오기 어렵게 만드는 것 (이 논문) 이 더 안전하다는 것을 보여준 셈입니다.

이 기술이 발전하면, 의료 데이터나 자율주행차 같은 중요한 분야에서 AI 가 해킹당할 위험을 크게 줄일 수 있을 것으로 기대됩니다.

기술 요약

이 논문은 **암시적 신경 표현 (Implicit Neural Representations, INR)**의 파라미터 공간 (Weight-space) 에서 수행되는 분류 모델에 대한 적대적 공격 (Adversarial Attacks) 과 그 방어 메커니즘을 심층적으로 분석한 연구입니다. 저자들은 INR 파라미터 공간에서 학습된 분류기가 기존 신호 공간 (Signal-space) 분류기보다 표준적인 화이트박스 적대적 공격에 대해 본질적으로 더 높은 견고성 (Robustness) 을 보인다는 사실을 발견하고, 그 원인을 기울기 은닉 (Gradient Obfuscation) 현상에서 찾았습니다.

아래는 논문의 주요 내용을 기술적으로 요약한 것입니다.

---

1. 연구 배경 및 문제 정의 (Problem)

• 배경: INR 은 공간 또는 시간 좌표를 입력으로 받아 신호 값을 예측하는 신경망을 통해 데이터를 압축하고 연속적으로 표현합니다. 최근에는 INR 의 파라미터 (가중치) 를 직접 사용하여 분류나 생성과 같은 하위 작업을 수행하는 '파라미터 공간 분류기 (Parameter-space Classifiers)'가 주목받고 있습니다.
• 문제: 딥러닝 모델은 일반적으로 적대적 공격에 취약합니다. 하지만 파라미터 공간 분류기에 대한 적대적 공격 연구는 거의 이루어지지 않았습니다.
• 핵심 질문: 신호 공간 (원본 이미지/신호) 에서 공격이 가해지더라도, 이를 INR 로 변환 (최적화) 하는 과정을 거쳐 파라미터 공간 분류기에 입력될 때, 분류 모델은 얼마나 견고한가? 그리고 그 원인은 무엇인가?

2. 방법론 (Methodology)

2.1 위협 모델 (Threat Model)

• 공격 환경: 공격자는 **신호 공간 (Signal Domain)**에서 입력 데이터에 교란 (Perturbation, $\delta$) 을 가합니다.
• 공격 목표: 교란된 신호를 INR 최적화 과정 ($R$) 을 거쳐 파라미터 ($\theta$) 로 변환한 후, 파라미터 공간 분류기 ($M$) 가 오분류하도록 만드는 것.
• 제약 조건: 공격자는 파라미터를 직접 조작할 수 없으며, 신호 공간에서의 교란 크기 ($L_p$ 노름) 만 제어할 수 있습니다. 이는 2 단계 최적화 (Bi-level optimization) 문제를 발생시킵니다.

2.2 제안된 적대적 공격 기법 (Novel Adversarial Attacks)

기존의 신호 공간 공격 기법을 파라미터 공간에 적용하기 위해 저자들은 5 가지 새로운 공격 기법을 제안했습니다. 이는 INR 최적화 루프를 통과하는 기울기 계산의 복잡성을 해결하기 위해 고안되었습니다.

1. Full Projected Gradient Descent (PGD): 전체 INR 최적화 루프를 거치며 2 차 미분 (Second-order differentiation) 을 통해 정확한 기울기를 계산합니다. 가장 정확하지만 계산 비용이 매우 큽니다.
2. Truncated Modulation Optimization (TMO): 전체 최적화 단계 중 일부 ($\tau$) 만 거치며 기울기를 전파합니다. 계산 비용을 줄이지만, 실제 추론 과정과의 괴리가 발생할 수 있습니다.
3. Backpropagation Over Truncation Through Optimization of Modulation (BOTTOM): TMO 의 단점을 보완하여, 전체 최적화 단계를 수행하되 기울기 전파를 구간별로 나누어 계산합니다. 계산 효율성과 기울기 정확도의 균형을 맞춥니다.
4. Imposition of Constraints via Orthogonal Projection (ICOP): 파라미터 공간 (INR 도메인) 에서 직접 공격을 수행하되, 신호 공간의 제약 조건을 만족하도록 직교 투영을 통해 제약을 부과합니다.
5. Implicit Differentiation: 2 단계 최적화 문제에서 기울기를 계산하기 위해 암시적 미분 (Implicit Differentiation) 을 사용하여 메모리 소모를 줄입니다. 하지만 실제 유한 단계 최적화와 이론적 고정점 해 사이의 불일치로 인해 공격 효율이 떨어질 수 있습니다.
6. BVA (Binary Voxel Attack): 3D 데이터 (Voxel Grid) 를 대상으로 한 비트 플립 (Bit-flip) 기반 공격 기법입니다.

3. 주요 결과 (Results)

3.1 2D 데이터 (MNIST, Fashion-MNIST)

• 견고성: 파라미터 공간 분류기는 표준 화이트박스 PGD 공격에 대해 신호 공간 분류기보다 현저히 높은 견고성을 보였습니다. 특히 공격 강도 ($\epsilon$) 가 낮을 때 그 차이가 두드러졌습니다.
• 공격 성능 비교: 제안된 공격 기법 (TMO, BOTTOM) 이 Auto-Attack 보다 더 효과적이었으며, Full PGD 는 기울기 소실 (Vanishing Gradient) 로 인해 상대적으로 효과가 낮았습니다.
• 원인 분석:
  • 기울기 은닉 (Gradient Obfuscation): INR 최적화 루프가 고주파수 적대적 노이즈를 필터링 (Low-pass filter 역할) 하여 분류기에 도달하기 전에 제거합니다. 이로 인해 기울기가 소실되거나 왜곡되어 공격자가 효과적인 방향을 찾기 어렵습니다.
  • BPDA 공격 결과: 기울기 은닉을 우회하기 위한 BPDA (Backward Pass Differentiable Approximation) 공격을 수행했을 때, 모델의 정확도가 급격히 하락했습니다. 이는 모델이 본질적으로 안전하다기보다는 기울기 정보의 가려짐 (Masking) 으로 인해 공격이 어렵다는 것을 의미합니다.

3.2 3D 데이터 (ModelNet10)

• 3D 볼륨 데이터 (Voxel Grid) 에 대한 실험에서도 파라미터 공간 분류기가 신호 공간 분류기보다 더 강한 견고성을 보였습니다.
• BVA 공격을 통해 신호 공간에서는 정확도가 급격히 떨어졌으나, 파라미터 공간에서는 상대적으로 잘 견디는 것을 확인했습니다.

3.3 계산 비용 분석

• 파라미터 공간 분류기에 대한 공격은 엄청난 계산 비용을 요구합니다.
• 예: MNIST 데이터에서 공격 최적화를 위한 시간은 깨끗한 추론 (Clean Inference) 시간보다 약 100 배 더 오래 걸렸습니다.
• 이는 공격자가 공격을 수행하는 데 있어 실질적인 장벽 (Practical Barrier) 으로 작용합니다.

4. 핵심 기여 (Key Contributions)

1. 새로운 공격 기법 개발: 파라미터 공간 분류기를 타겟으로 하는 5 가지 새로운 화이트박스 적대적 공격 기법 (Full PGD, TMO, BOTTOM, ICOP, Implicit Differentiation) 을 제안했습니다.
2. 본질적 견고성 발견 및 분석: 파라미터 공간 분류기가 별도의 방어 학습 (Robust Training) 없이도 표준 화이트박스 공격에 대해 높은 견고성을 보인다는 사실을 처음 증명했습니다.
3. 기울기 은닉 메커니즘 규명: INR 최적화 과정이 고주파수 적대적 노이즈를 '스크럽 (Scrubbing)'하여 제거하고, 이로 인해 기울기 정보가 왜곡되거나 소실됨으로써 공격이 어렵게 만든다는 메커니즘을 규명했습니다.
4. 3D 데이터용 공격 제안: 3D 볼륨 데이터에 적용 가능한 새로운 적대적 공격 (BVA) 을 개발하고 파라미터 공간에서의 견고성을 검증했습니다.

5. 의의 및 결론 (Significance)

• 안전한 학습 시스템의 새로운 패러다임: 이 연구는 파라미터 공간 (Weight-space) 에서 데이터를 처리하는 방식이 기존 신호 공간 방식보다 적대적 공격에 대해 본질적으로 더 안전할 수 있음을 시사합니다.
• 실용적 방어: 명시적인 방어 학습 없이도, INR 최적화 과정 자체가 자연스러운 '정제 (Purification)' 및 '기울기 은닉' 기능을 수행하여 공격자의 계산 비용을 극대화하고 공격 성공률을 낮춥니다.
• 한계 및 향후 과제:
  • 현재 발견된 견고성은 주로 기울기 기반 (Gradient-based) 화이트박스 공격에 국한되며, 기울기 정보가 없는 공격 (Black-box, Gradient-free) 에 대해서는 취약할 수 있습니다.
  • 파라미터 공간 분류기가 아직 컴퓨터 비전 분야에서 널리 배포되지 않았다는 한계가 있으나, INR 기술의 발전과 함께 보안 강화된 학습 시스템의 기초를 제공한다는 점에서 의미가 큽니다.

요약하자면, 이 논문은 INR 기반 파라미터 공간 분류기가 최적화 과정의 특성 (저주파수 편향 및 기울기 은닉) 으로 인해 적대적 공격에 대해 높은 자연적 견고성을 가지며, 이는 공격자에게 막대한 계산 비용을 부과한다는 것을 체계적으로 증명했습니다.