Defending against Backdoor Attacks via Module Switching

이 논문은 학습 데이터나 공격에 대한 사전 지식이 없는 환경에서도 소수의 모델로만 구현 가능하며, 여러 모델이 동일한 백도어를 공유하는 공조 공격 상황에서도 기존 가중치 평균 기법보다 뛰어난 방어 성능을 보이는 '모듈 전환 (MSD)' 방어 기법을 제안합니다.

핵심

🛡️ "모듈 스와핑 (Module Switching)"으로 해커의 함정을 무력화하다: 쉬운 설명

이 논문은 인공지능 (AI) 모델이 해킹당하는 끔찍한 상황, 즉 **'백도어 공격 (Backdoor Attack)'**을 막기 위한 새로운 방어 기술을 소개합니다.

기존의 방어법들은 복잡하거나 많은 자원이 필요했지만, 이 연구팀은 **"잘못된 연결을 끊고, 올바른 부품을 섞어쓰는 것"**만으로 강력한 방어를 가능하게 했습니다.

---

1. 문제: AI 에 숨겨진 '지문' 같은 함정

상상해 보세요. 어떤 식당에 아주 맛있는 요리를 만드는 셰프가 있습니다. 하지만 그 셰프는 몰래 **"특정 색깔의 양념 (트리거)"**을 넣으면, 평소에는 맛있는 요리를 하다가도 갑자기 독극물을 섞어주는 비밀 주문을 받습니다.

• 백도어 공격: 해커가 AI 학습 데이터에 아주 작은 '특수한 신호' (예: 이미지 한 구석에 빨간 점, 텍스트에 특정 단어) 를 심어놓는 것입니다.
• 위험성: AI 는 평소에는 정상적으로 작동하지만, 그 '특수 신호'만 감지하면 해커가 원하는 나쁜 행동 (예: 신호등이 빨간불일 때 '정지'가 아니라 '진행'으로 인식) 을 합니다.
• 난제: 사용자는 AI 를 다운로드받아 쓰기만 할 뿐, 어떤 데이터로 학습되었는지, 해커가 함정을 심었는지 알 수 없습니다. (포스트-트레이닝 환경)

2. 기존 방법의 한계: "모두 섞어서 평균 내기"

기존의 해결책 중 하나는 여러 개의 AI 모델을 가져와서 **가중치 평균 (Weight Averaging)**을 내는 것이었습니다. 마치 여러 사람의 의견을 모아 평균을 내면 극단적인 의견이 사라진다는 논리입니다.

• 비유: 3~4 명의 요리사 (모델) 가 각자 다른 독을 넣었다면, 그들을 모두 섞어서 평균을 내면 독이 희석되어 사라질 거라고 믿는 것입니다.
• 문제점: 하지만 해커들이 **똑같은 독 (같은 백도어)**을 넣었다면? 평균을 내도 독은 사라지지 않습니다. 또한, 해커가 적은 수의 모델만 가지고 있다면 이 방법은 효과가 떨어집니다.

3. 새로운 해결책: "레고 블록 교환 (모듈 스와핑)"

이 논문이 제안한 **MSD (Module Switching Defense)**는 평균을 내는 대신, 모델들의 '부품'을 서로 바꿔 끼우는 방식을 사용합니다.

🧩 창의적인 비유: "나쁜 레시피를 가진 요리사들"

여러 개의 AI 모델이 있다고 가정해 봅시다. 각 모델은 레고 블록으로 만든 성채와 같습니다.

• 해커의 함정: 해커는 각 모델의 성채에 서로 다른 위치에 '폭탄 (백도어)'을 숨겨놓았습니다.
  • 모델 A: 1 층 벽돌에 폭탄을 숨김.
  • 모델 B: 3 층 창문 쪽에 폭탄을 숨김.
  • 모델 C: 지붕 타일에 폭탄을 숨김.

기존 방법 (평균 내기):
A, B, C 의 벽돌을 다 갈아엎어 반반씩 섞으면, 폭탄이 여전히 섞여 있을 수 있습니다.

새로운 방법 (모듈 스와핑):
이제 A 의 1 층 벽돌을 가져와서 B 의 3 층에 끼워보고, B 의 3 층을 A 의 1 층에 끼워보세요!

• 결과: 폭탄이 숨겨진 위치 (1 층, 3 층) 가 서로 다른 모델의 '정상적인 부품'과 섞이면서, 폭탄이 작동하는 연결고리가 끊어집니다.
• 핵심: 해커는 각 모델에 폭탄을 숨기는 위치를 다르게 했기 때문에, 부품을 섞으면 폭탄이 제대로 작동할 수 있는 '길 (Shortcuts)'이 사라집니다.

4. 어떻게 최적의 조합을 찾을까? (진화 알고리즘)

그렇다면 어떤 부품을 어디에 끼워야 할까요? 무작위로 섞으면 AI 가 망가질 수도 있습니다.

• 진화 알고리즘 (Evolutionary Algorithm): 자연선택처럼 작동합니다.
  1. 수많은 부품 조합을 만들어 봅니다.
  2. "이 조합은 폭탄을 잘 막아내는가?"를 점수화합니다.
  3. 점수가 높은 조합끼리 섞고, 점수가 낮은 것은 버립니다.
  4. 이 과정을 반복하면 **폭탄을 가장 효과적으로 무력화시키는 '최고의 부품 조합'**이 탄생합니다.

이 과정은 AI 가 학습된 후, 추가적인 데이터 없이 오직 모델의 구조 정보만으로 이루어집니다.

5. 왜 이 방법이 특별한가?

1. 적은 모델로도 가능: 기존 방법은 3~6 개의 모델이 필요했지만, 이 방법은 2 개의 모델만 있어도 강력한 방어가 가능합니다.
2. 공범 공격에도 강함: 만약 해커들이 여러 모델을 만들어서 똑같은 폭탄을 같은 위치에 심었다면 (공범 공격), 평균 내기 방법은 무용지물이 됩니다. 하지만 이 방법은 부품을 섞는 전략을 바꾸기 때문에, 공범이 있어도 폭탄을 무력화시킬 수 있습니다.
3. 원래 기능은 유지: 폭탄만 제거하고, AI 가 원래 하던 일 (사진 분류, 문장 이해 등) 은 그대로 잘 수행합니다.

6. 결론: AI 보안의 새로운 패러다임

이 연구는 **"해커가 만든 나쁜 연결고리는 약하다"**는 통찰에서 출발합니다. 서로 다른 모델의 부품을 지혜롭게 교환하면, 그 나쁜 연결고리는 스스로 끊어지고 AI 는 다시 건강해집니다.

한 줄 요약:

"AI 가 해킹당했을 때, 모든 것을 다 섞어서 평균을 내는 대신, 나쁜 부품과 좋은 부품을 지혜롭게 교환하여 해커의 함정을 무력화시키는 새로운 방어 기술입니다."

이 기술은 텍스트 (자연어 처리) 와 이미지 (컴퓨터 비전) 모두에서 효과가 입증되었으며, 앞으로 우리가 사용하는 AI 서비스의 안전을 지키는 핵심 열쇠가 될 것입니다.

기술 요약

1. 문제 정의 (Problem)

배경:
딥러닝 모델의 학습 데이터에 특정 트리거 (Trigger) 를 주입하여, 정상 입력에서는 정상 동작하지만 트리거가 포함된 입력에서는 악의적인 행동을 하도록 만드는 **백도어 공격 (Backdoor Attacks)**이 심각한 보안 위협이 되고 있습니다.

핵심 과제:
최근 모델 공유 플랫폼 (Hugging Face 등), 전문가 혼합 (MoE) 시스템, 1 회성 연합 학습 (One-shot Federated Learning) 등의 '포스트 트레이닝 (Post-training)' 환경이 확산되면서, 최종 사용자는 모델의 학습 데이터나 공격 이력에 대한 정보를 전혀 알 수 없는 상태 (Black-box 또는 White-box 접근만 가능) 에서 모델을 배포해야 하는 상황이 많아졌습니다.
기존의 방어 기법들은 대부분 원본 학습 데이터, 신뢰할 수 있는 보조 데이터셋, 또는 트리거 역추적 (Trigger Inversion) 을 위한 최적화 과정 등을 전제로 하는데, 이러한 자원이 없는 환경에서는 효과적인 방어가 어렵습니다.

기존 방법의 한계:
모델 병합 (Model Merging) 기법, 특히 가중치 평균화 (Weight Averaging, WAG) 는 여러 개의 동종 모델을 병합할 때 백도어를 억제하는 효과가 있지만, 다음과 같은 한계가 있습니다:

1. 모델 수 의존성: 효과적인 방어를 위해 보통 3~6 개의 동종 모델이 필요하여 방어자에게 부담을 줍니다.
2. 공격적 협력 (Collusive Attacks) 취약: 여러 공격자가 동일한 백도어를 공유하여 모델을 생성한 경우 (Collusive Attack), 단순 평균화 (WAG) 는 오히려 백도어 패턴을 강화하거나 효과가 떨어집니다.

---

2. 제안 방법: 모듈 스위칭 방어 (Module Switching Defense, MSD)

저자들은 백도어가 모델 내 특정 모듈에서 학습된 '가짜 상관관계 (Spurious Correlations)' 또는 '단축 경로 (Shortcuts)'로 작동한다는 점에 착안하여, **모델 간의 모듈 (Layer 또는 Weight Block) 을 선택적으로 교체 (Switching)**하여 이러한 단축 경로를 파괴하는 새로운 방어 프레임워크를 제안했습니다.

핵심 메커니즘

1. 이론적 근거 (2 층 네트워크 분석):

   • 두 개의 백도어 모델 $M_i, M_j$를 가정할 때, 가중치 평균화 (WAG) 는 백도어 성분을 부분적으로만 줄이는 반면, 레이어 간 가중치를 교체하는 모듈 스위칭은 백도어 성분을 더 크게 분산 (Divergence) 시킵니다.
   • 수학적으로 증명된 바에 따르면, 스위칭된 모델 중 적어도 하나는 WAG 모델보다 백도어 패턴으로부터 더 멀리 떨어진 (더 안전한) 모델을 생성할 수 있습니다.

2. 심층 신경망 (Deep Models) 적용 전략:

   • 구조적 어드밴스 (Adjacency Rules): 백도어 전파를 막기 위해 모듈 교체 시 고려해야 할 3 가지 인접성 규칙을 정의합니다.
     • Intra-layer: 같은 레이어 내 모듈 간 연결.
     • Consecutive-layer: 인접한 레이어 간 연결.
     • Residual-path: 잔차 연결 (Skip connection) 을 통한 연결.
   • 진화적 탐색 (Evolutionary Search):
     • 최적의 모듈 조합 전략을 찾기 위해 **진화 알고리즘 (Evolutionary Algorithm)**을 사용합니다.
     • 적합도 함수 (Fitness Function): 인접성 규칙 위반에 대한 패널티, 모델 간 균형 (Balance), 조합의 다양성 (Diversity) 등을 점수화하여 백도어 경로를 최대한 교란시키는 전략을 탐색합니다.
     • 이 과정은 모델 학습 없이 구조 정보만으로 수행되므로, 동일한 아키텍처를 가진 모델에 전략을 재사용 (Transfer) 할 수 있습니다.

3. 후보 모델 선택 (Candidate Selection):

   • 탐색된 전략으로 생성된 여러 후보 모델 중, 소량의 깨끗한 검증 데이터 (Clean Validation Set, 클래스당 20~50 개) 를 사용하여 백도어 특징과 가장 거리가 먼 모델을 선택합니다.
   • 의심스러운 클래스 (Suspect Class) 를 탐지하고, 해당 클래스의 특징 벡터와 후보 모델의 출력 간의 코사인 거리를 측정하여 최적의 모델을 선정합니다.

---

3. 주요 기여 (Key Contributions)

1. MSD 프레임워크 제안: 신뢰할 수 있는 데이터나 참조 모델 없이, 소수의 모델만으로 백도어를 효과적으로 제거하는 모듈 스위칭 기법을 개발했습니다.
2. 이론적 및 실증적 분석: 2 층 네트워크에서의 백도어 분산 이론을 증명하고, Transformer 및 CNN 아키텍처에서의 유효성을 입증했습니다.
3. 협력 공격 (Collusive Attack) 에 대한 강건성: 여러 모델이 동일한 백도어를 공유하는 현실적이지만 연구가 부족한 시나리오에서도 WAG 보다 우수한 방어 성능을 보임을 입증했습니다.
4. 효율성과 일반화: 구조 기반 (Structure-driven) 이기 때문에 다양한 모델 (RoBERTa, DeBERTa, ViT, ResNet 등) 에 전략을 재사용할 수 있으며, 한 번 탐색된 전략은 오프라인에서 수행 후 배포 시 매우 빠른 병합이 가능합니다.

---

4. 실험 결과 (Results)

실험 설정:

• 데이터셋: 텍스트 (SST-2, MNLI, AG News), 이미지 (CIFAR-10, TinyImageNet).
• 공격 유형: BadNet, InsertSent, LWS, Hidden-Killer, WaNet, PhysicalBA 등 다양한 백도어 공격.
• 비교 대상: WAG, TIES, DARE, ONION, CutMix 등 기존 최첨단 방어 기법.

주요 성과:

1. 높은 방어 성능 (낮은 ASR):
   • 텍스트 및 이미지 도메인에서 WAG 및 다른 병합 기법들에 비해 공격 성공률 (ASR) 을 현저히 낮췄습니다.
   • 예: SST-2 에서 BadNet + LWS 공격 조합 시, WAG 의 ASR 이 62.2% 였으나 MSD 는 40.4% 로 개선되었습니다.
   • BadNet + PhysicalBA (이미지) 조합에서 ASR 을 18.5% 로 낮추어 모든 베이스라인을 압도했습니다.
2. 협력 공격 (Collusive Attack) 대응:
   • 두 쌍의 모델이 각각 동일한 백도어를 공유하는 경우 (예: BadNet+BadNet), WAG 는 효과가 떨어지지만 MSD 는 전략적으로 단축 경로를 교란하여 ASR 을 크게 감소시켰습니다.
3. 작은 모델 수로도 효과적:
   • 기존 WAG 가 3~6 개의 모델이 필요했던 반면, MSD 는 2 개의 모델만으로도 강력한 방어를 수행했습니다.
4. 유용성 (Utility) 보존:
   • 백도어를 제거하면서도 정상 입력에 대한 정확도 (Clean Accuracy, CACC) 는 거의 손실되지 않았습니다 (대부분 95% 이상 유지).
5. 효율성:
   • 구조 탐색은 오프라인에서 한 번 수행 (약 2.6 시간) 하면 되며, 실제 병합 단계는 16 초 내로 완료되어 배포 비용이 매우 낮습니다.

---

5. 의의 및 결론 (Significance)

이 논문은 포스트 트레이닝 환경에서의 백도어 방어에 있어 중요한 전환점을 제시합니다.

• 실용성: 신뢰할 수 있는 데이터나 복잡한 재학습 과정 없이, 단순히 여러 모델의 모듈을 섞는 것만으로 강력한 방어가 가능함을 보여줍니다.
• 새로운 위협 대응: 기존 연구에서 간과되었던 '협력적 백도어 공격'에 대한 효과적인 해결책을 제시했습니다.
• 범용성: Transformer 기반의 NLP 모델뿐만 아니라 CNN 기반의 컴퓨터 비전 모델까지 확장 가능하며, 아키텍처가 동일한 모델 간 전략 재사용이 가능하여 실제 산업 적용에 높은 잠재력을 가집니다.

결론적으로, MSD 는 모델 공급망 보안 (Model Supply Chain Security) 이 중요한 현대 AI 시스템에서, 비용 효율적이고 강력한 사후 방어 솔루션으로 자리 잡을 것으로 기대됩니다.