Wavelet Scattering Transform and Fourier Representation for Offline Detection of Malicious Clients in Federated Learning

이 논문은 웨이블릿 스캐터링 변환과 푸리에 변환을 기반으로 한 'WAFFLE' 알고리즘을 제안하여, 원시 데이터 접근 없이 사전 훈련 단계에서 악성 클라이언트를 효율적으로 탐지하고 연동 학습의 성능을 향상시키는 방법을 제시합니다.

핵심

와플 (Waffle): 페더레이션 러닝을 지키는 '스마트 보안 검사관'

이 논문은 **페더레이션 러닝 (Federated Learning, FL)**이라는 기술이 가진 치명적인 약점을 해결하는 새로운 방법을 소개합니다. 쉽게 말해, **"데이터를 한곳에 모으지 않고도, 나쁜 데이터를 가진 참여자를 훈련 시작 전에 미리 찾아내는 기술"**입니다.

이 복잡한 내용을 일상적인 비유로 쉽게 설명해 드릴게요.

---

1. 상황 설정: "전 세계 요리사들의 공동 레시피 프로젝트"

상상해 보세요. 전 세계의 수많은 요리사 (클라이언트) 들이 모여서 **하나의 완벽한 레시피 (AI 모델)**를 만들려고 합니다.

• 문제점: 각 요리사는 자신의 비법 레시피 (데이터) 를 서버에 보내지 않고, 집에서 직접 연습한 결과만 공유합니다. 이렇게 하면 개인정보 (비밀 레시피) 는 보호됩니다.
• 위험: 하지만 그중에는 고장 난 센서를 가진 요리사나, 의도적으로 레시피를 망친 해커가 섞여 있을 수 있습니다. 이 사람들이 보낸 나쁜 결과물을 섞으면, 전체 레시피가 망가져서 맛없는 요리를 만들게 됩니다.

기존의 방법들은 "요리사가 요리를 하는 동안 (훈련 중) 이상한 맛을 느끼면 나중에 걸러낸다"는 식이었습니다. 하지만 이는 이미 레시피가 망가진 후일 수 있고, 걸러내는 데도 시간이 많이 걸립니다.

2. 해결책: '와플 (Waffle)'이라는 보안 검사관

이 논문은 훈련을 시작하기 전에, 각 요리사가 보내는 '요리 결과 요약본'만 보고 **"이 사람은 깨끗한가, 아니면 망가진 재료 (데이터) 를 썼는가?"**를 미리 판단하는 시스템을 개발했습니다. 이 시스템의 이름은 Waffle입니다.

🥞 와플이 어떻게 작동할까요? (두 가지 도구)

와플은 요리사의 '요리 요약본'을 분석할 때 두 가지 특별한 안경을 사용합니다.

1. 푸리에 변환 (Fourier Transform) 안경:

   • 비유: 요리의 소리를 듣는 것입니다.
   • 이 안경은 요리 결과물의 주파수 (소리의 높낮이) 를 분석합니다. 예를 들어, "이 요리는 너무 거칠게 섞였네 (노이즈)" 혹은 "이건 너무 흐릿하게 조리했네 (블러)"를 소리로 감지합니다.
   • 장점: 빠르고 직관적입니다.

2. 웨이브릿 스캐터링 변환 (WST) 안경:

   • 비유: 요리의 질감과 무늬를 확대해서 보는 현미경입니다.
   • 이 안경은 소리가 아니라 형태와 질감을 봅니다. "이 재료의 결이 원래와 다르고, 미세한 찌그러짐이 있네"라고 파악합니다.
   • 핵심 장점: 이 안경은 원본 레시피를 복원할 수 없습니다. 즉, 요리사의 비밀 레시피를 훔쳐볼 수 없으므로 보안성이 훨씬 더 높습니다. 또한, 작은 흔들림에는 흔들리지 않고 (안정성), 모양이 약간 변해도 본질을 파악할 수 있습니다.

3. 와플의 작전: "훈련 전, 철저한 보안 검색"

기존 방식이 "훈련 중 감시"였다면, 와플은 **"훈련 전 보안 검색"**을 합니다.

1. 준비 단계 (오프라인 학습):
   • 서버는 미리 가상의 '나쁜 요리사'와 '좋은 요리사' 데이터를 만들어서 와플 시스템을 훈련시킵니다. (실제 요리사의 데이터는 쓰지 않음)
2. 실전 단계:
   • 각 요리사 (클라이언트) 는 자신의 데이터를 분석해 **매우 작은 요약본 (스펙트럼 임베딩)**만 만들어 서버에 보냅니다. (원본 데이터는 절대 보내지 않음)
   • 서버는 이 요약본을 와플 시스템에 넣습니다.
   • 와플이 "이 요약본은 고장 난 센서나 해커의 흔적이 있네!"라고 판단하면, 그 요리사는 훈련 시작 전에 바로 퇴장시킵니다.

4. 왜 이것이 획기적인가요?

• 원래의 맛을 살립니다: 나쁜 재료가 섞이기 전에 걸러내므로, 최종 레시피 (AI 모델) 의 성능이 훨씬 좋아집니다.
• 90% 가 해커여도 이깁니다: 보통은 해커가 50% 를 넘으면 시스템이 무너집니다. 하지만 와플은 해커가 90% 를 차지해도 거의 완벽하게 찾아냅니다.
• 보안이 강력합니다: 특히 '웨이브릿 (WST)'을 사용하면, 요약본만으로는 원본 데이터를 복원할 수 없어 프라이버시가 철저히 보호됩니다.
• 다양한 공격을 막습니다: 단순히 소음을 넣는 것뿐만 아니라, 이미지를 흐리게 하거나, 픽셀을 뚝뚝 끊어내는 (블록 드롭아웃) 같은 복잡한 공격도 찾아냅니다.

5. 결론: "나쁜 사과를 골라내는 스마트 바구니"

이 논문의 핵심은 **"나쁜 사과 (악성 클라이언트) 가 섞인 바구니에서, 사과를 다 갈아 넣기 전에 미리 나쁜 사과를 골라내자"**는 것입니다.

기존에는 나쁜 사과가 섞인 후에도 계속 갈아서 맛을 보며 고치려 했지만, **와플 (Waffle)**은 **웨이브릿 (WST)**이라는 강력한 안경을 통해, 사과를 갈기 전에 그 모양과 결만 봐도 "이건 썩었구나!"라고 정확히 찾아냅니다.

이 기술은 사물인터넷 (IoT), 스마트 시티, 의료 데이터 등 개인정보가 민감하고 자원이 부족한 환경에서 AI 를 안전하게 만드는 데 큰 역할을 할 것으로 기대됩니다.

---

한 줄 요약:

**와플 (Waffle)**은 AI 훈련 시작 전에, 원본 데이터를 건드리지 않고도 '소리와 질감'을 분석해 나쁜 참여자를 미리 찾아내어, AI 가 망가지는 것을 막아주는 초고속 보안 검사관입니다.

기술 요약

1. 문제 정의 (Problem Statement)

연계 학습 (Federated Learning, FL) 은 데이터 프라이버시를 유지하면서 분산된 클라이언트 간에 머신러닝 모델을 훈련시키는 핵심 패러다임입니다. 그러나 IoT 및 스마트 시티와 같은 대규모 배포 환경에서는 다음과 같은 심각한 위협에 직면해 있습니다.

• 악성/결함 클라이언트: 센서 오보정, 물리적 손상, 또는 의도적인 데이터 중독 (Data Poisoning) 으로 인해 비정상적인 데이터를 생성하는 클라이언트가 존재할 수 있습니다.
• 기존 방법의 한계:
  • 온라인 탐지: 훈련 중 업데이트를 모니터링하는 방식은 통신 및 계산 오버헤드가 크며, 피해가 발생한 후 탐지되는 경우가 많습니다.
  • 강건한 집계 (Robust Aggregation): Krum, Trimmed Mean 등의 방법은 악성 클라이언트를 명시적으로 제거하지 않고 영향을 줄이는 데 초점을 맞추며, 악성 클라이언트가 과반수를 차지하는 경우나 미묘한 데이터 수준 (feature-level) 의 교란에는 취약합니다.
• 핵심 과제: 원시 데이터 (Raw Data) 에 접근하지 않고, 사전 (Pre-training) 단계에서 악성 클라이언트를 정확하게 식별하고 격리하는 효율적인 방법론의 부재.

2. 제안 방법론: Waffle (Wavelet and Fourier representations for Federated Learning)

저자들은 Waffle이라는 새로운 오프라인 탐지 알고리즘을 제안합니다. 이 방법은 FL 훈련이 시작되기 전에 클라이언트의 데이터 특성을 분석하여 악성 클라이언트를 사전에 필터링합니다.

핵심 구성 요소

1. 스펙트럼 표현 (Spectral Representations):

   • 클라이언트는 원시 데이터를 서버에 보내지 않고, Wavelet Scattering Transform (WST) 또는 Fourier Transform (FT) 을 기반으로 계산된 저차원의 압축된 스펙트럼 임베딩 (Spectral Embedding) 만 서버에 전송합니다.
   • WST (Wavelet Scattering Transform): 국소적인 변형에 대한 안정성 (Stability), 비가역성 (Non-invertibility, 프라이버시 보호에 유리), 그리고 CNN 과 유사한 계층적 구조를 가집니다.
   • FT (Fourier Transform): 선형 연산자로서 잡음 (Noise) 과 블러 (Blur, 컨볼루션) 와 같은 교란을 주파수 영역에서 명확하게 식별할 수 있게 합니다.

2. 오프라인 훈련 (Offline Training):

   • 서버는 공개된 보조 데이터셋 (Auxiliary Dataset) 을 사용하여 탐지기를 사전에 훈련합니다.
   • 시뮬레이션: 서버는 보조 데이터에 무작위로 '잡음 (Noisy)' 또는 '블러 (Blurred)' 공격을 가하여 악성 클라이언트 시나리오를 생성합니다.
   • PCA 및 임베딩: 생성된 데이터에 대해 주성분 분석 (PCA) 을 수행한 후, WST 또는 FT 를 적용하여 클라이언트별 특징 벡터 (Spectral Embedding) 를 추출합니다.
   • 분류기 학습: 추출된 임베딩을 기반으로 악성/정상 클라이언트를 분류하는 경량 분류기를 학습시킵니다.

3. 오프라인 탐지 및 필터링 (Offline Detection & Filtering):

   • 실제 FL 훈련 시작 전, 각 클라이언트는 로컬 데이터에 대해 동일한 PCA 및 스펙트럼 변환 과정을 거쳐 임베딩을 생성하여 서버로 전송합니다.
   • 서버는 사전 훈련된 탐지기를 통해 임베딩을 분석하여 악성 클라이언트를 식별하고, 훈련 과정에서 제외시킵니다.
   • 프라이버시: 원시 데이터는 서버에 전송되지 않으며, 비가역적인 요약 정보만 공유됩니다.

3. 주요 기여 (Key Contributions)

• Waffle 알고리즘 제안: FL 환경에서 데이터 공격을 탐지하기 위해 WST를 처음 도입한 오프라인 탐지 프레임워크를 제시했습니다.
• 이론적 기반: WST 와 FT 가 데이터 분포의 교란을 탐지하는 데 강력한 표현 도구임을 이론적으로 증명하고, 악성 클라이언트 제거가 전역 모델 추정의 편향 (Bias) 을 줄이고 분산 (Variance) 을 감소시켜 모델 정확도를 향상시킨다는 것을 수학적으로 입증했습니다.
• 실험적 검증: 다양한 벤치마크 데이터셋 (FashionMNIST, CIFAR-10/100) 및 NLP 태스크에서 기존 Byzantine-Resilient FL 방법론 (Krum, FedAvg 등) 과 비교하여 우수한 성능을 입증했습니다.

4. 실험 결과 (Results)

• 탐지 성능:
  • WST 기반 Waffle은 FT 기반보다 정밀도 (Precision) 와 F1 점수가 전반적으로 우수했습니다. 특히 악성 클라이언트가 90% 에 달하는 극단적인 상황에서도 100% 정밀도를 기록하며, 기존 방법론이 실패하는 환경에서도 견고한 성능을 보였습니다.
  • FT 기반은 재현율 (Recall) 이 높았으나, WST 에 비해 정밀도가 다소 낮았습니다.
• 모델 성능 향상:
  • Waffle 을 적용한 FedAvg 는 악성 클라이언트가 포함된 환경에서도 '클린 (Clean) 페더레이션'과 유사한 높은 테스트 정확도를 달성했습니다.
  • 기존 탐지 방법 (FLDetector, VAEDetector) 은 비가우시안 공격 (Random Block Attack) 에 취약했으나, Waffle-WST 는 이러한 구조적 공격에서도 거의 완벽한 탐지 성능을 보였습니다.
• 범용성: 컴퓨터 비전뿐만 아니라 NLP (감정 분석) 태스크에서도 Shift-and-Noise 공격에 효과적으로 대응하여 모델 정확도를 크게 회복시켰습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 선제적 방어 (Proactive Defense): Waffle 은 훈련 중 발생하는 오버헤드를 줄이고, 훈련 시작 전에 악성 노드를 제거함으로써 자원 제약이 있는 IoT 환경에 매우 적합합니다.
• 모듈형 보안 레이어: Waffle 은 기존 강건한 집계 알고리즘을 대체하는 것이 아니라, 이를 보완하는 제 1 의 방어선으로 작동합니다. 데이터 수준의 공격을 사전에 차단함으로써 전체 FL 파이프라인의 신뢰성과 효율성을 극대화합니다.
• 프라이버시 보호: WST 의 비가역성 (Non-invertibility) 특성을 활용하여, 서버가 클라이언트의 원시 데이터를 복원할 수 없도록 설계되어 프라이버시를 강력하게 보호합니다.

이 연구는 분산 학습 환경의 보안 취약점을 해결하기 위해 신호 처리 (Signal Processing) 기법 (WST/FT) 을 창의적으로 적용한 사례로, 향후 더 복잡한 공격 (백도어, 시빌 등) 에 대응할 수 있는 확장 가능한 기반을 마련했습니다.