Angular Gradient Sign Method: Uncovering Vulnerabilities in Hyperbolic Networks

이 논문은 쌍곡선 공간의 기하학적 특성을 활용하여 접선 공간의 기울기를 반경 방향과 각도 방향으로 분해하고, 의미적 민감도가 높은 각도 방향의 왜곡만을 적용하여 기존 방법보다 더 높은 공격 성공률을 달성하는 'Angular Gradient Sign' 방법을 제안합니다.

핵심

🌍 핵심 비유: "평평한 지도 vs 구불구불한 나무"

우리가 평소 쓰는 인공지능 (이미지 인식 등) 은 대부분 평평한 지도 (유클리드 공간) 위에서 작동합니다. 여기서 '속임수 (Adversarial Attack)'는 그림에 아주 미세한 노이즈를 추가해 AI 가 '고양이'를 '개'로 오인하게 만드는 기술입니다. 기존 연구들은 이 평평한 지도 위에서 어떻게 속일지 연구해 왔습니다.

하지만 최근 AI 는 **거대한 나무 (계층 구조)**나 가족 관계도 같은 복잡한 데이터를 다룰 때, 평평한 지도보다 **구불구불한 쌍곡선 공간 (Hyperbolic Space)**을 더 잘 사용합니다.

• 쌍곡선 공간의 특징: 나무의 뿌리 (큰 개념, 예: '동물') 에서 가지 (중간 개념, 예: '고양이') 로, 그리고 잎 (세부 개념, 예: '코티지 고양이') 으로 갈수록 공간이 급격히 넓어집니다.

🚨 문제점: "잘못된 나침반"

기존의 공격 방법 (FGSM, PGD 등) 은 평평한 지도에서 만든 나침반을 가지고 구불구불한 나무를 공격합니다.

• 결과: AI 가 "고양이"를 "개"로 오인하게 만들려다, 오히려 "고양이"를 "동물"이라는 거대한 범주로만 인식하게 만들거나, 아예 혼란만 줍니다. 즉, 나무의 구조를 무시한 공격이라 효과가 떨어집니다.

💡 이 논문의 해결책: "각도만 바꾸는 공격 (AGSM)"

저자들은 "나무를 공격하려면, **깊이 (뿌리 방향)**가 아니라 **방향 (가지 방향)**을 바꿔야 한다"는 사실을 발견했습니다.

1. 깊이 (Radial, 반지름 방향): 나무의 뿌리에서 가지 끝까지의 거리. 이는 '개념의 포괄성'을 결정합니다. (예: 동물 → 고양이)
2. 방향 (Angular, 각도 방향): 같은 가지 위에서 다른 잎으로 이동하는 방향. 이는 '세부 의미'를 결정합니다. (예: 고양이 → 강아지)

기존 공격은 이 두 가지를 다 섞어서 공격했지만, 이 논문의 **AGSM (Angular Gradient Sign Method)**은 오직 '방향 (각도)'만 집중적으로 공격합니다.

비유하자면:

• 기존 공격: 나무를 흔들어 잎을 다 떨어뜨리는 것 (깊이와 방향을 다 건드림).
• AGSM 공격: 나무의 줄기는 그대로 둔 채, '고양이'라는 가지 끝에서 '강아지'라는 가지 끝으로 잎을 정확히 옮겨놓는 것.

이렇게 하면 AI 는 "아, 이건 고양이가 아니라 강아지구나!"라고 완전히 잘못 판단하게 됩니다.

📊 실험 결과: "더 강력하고 교활한 속임수"

연구진은 이 방법을 이미지 분류 (고양이 vs 개) 와 이미지 - 텍스트 검색 (사진을 보고 설명글 찾기) 작업에 적용했습니다.

• 결과: 기존 방법보다 훨씬 더 적은 노력으로 AI 를 속일 수 있었습니다.
• 특징: AI 가 "이건 고양이일 확률이 99% 였는데, AGSM 공격 후엔 40% 로 떨어지고 강아지로 오인했다"는 식으로, 의미 있는 오답을 유도했습니다.
• 시각적 예시:
  • 원본: "도시에서 멈춘 마차" (정답)
  • 기존 공격: "사람들과 자전거" (의미가 완전히 뒤틀림)
  • AGSM 공격: "코끼리를 탄 사람들" (의미는 비슷해 보이지만, 완전히 다른 잘못된 개념으로 유도)

🛡️ 결론 및 시사점

이 논문의 핵심 메시지는 **"AI 의 구조 (나무 형태) 를 이해해야 더 잘 속일 수 있다"**는 것입니다.

• 공격자 관점: 쌍곡선 공간의 '각도'를 노리는 것이 가장 효과적인 공격법입니다.
• 방어자 관점: 기존의 평평한 공간용 방어법으로는 이 '각도 공격'을 막기 어렵습니다. 따라서 AI 를 보호하려면 나무의 구조를 고려한 새로운 방어 전략이 필요합니다.

한 줄 요약:

"평평한 땅에서 만든 나침반으로는 구불구불한 숲을 헤매게 할 수 없습니다. 이 논문은 숲의 가지 (각도) 만을 정확히 흔들어 AI 를 혼란스럽게 만드는 새로운 공격법을 제시했습니다."

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 배경: 기존의 적대적 예제 (Adversarial Examples) 연구는 대부분 유클리드 (Euclidean) 기하학을 기반으로 한 신경망을 대상으로 이루어졌습니다. 그러나 계층적 데이터 (트리, 그래프, 지식 그래프 등) 를 표현하는 데 더 적합한 쌍곡선 (Hyperbolic) 공간을 사용하는 신경망 (예: Poincaré ResNet, HyCoCLIP) 이 최근 각광받고 있습니다.
• 문제점:
  • 기존의 FGSM(Fast Gradient Sign Method) 나 PGD(Projected Gradient Descent) 와 같은 적대적 공격 기법들은 쌍곡선 공간의 기하학적 구조 (곡률, 위계성) 를 고려하지 않고 유클리드 공간의 그라디언트 방향 그대로 노이즈를 추가합니다.
  • 이로 인해 쌍곡선 모델에 적용 시, 공격이 비효율적이거나 기하학적으로 일관되지 않은 결과를 초래할 수 있습니다.
  • 특히 쌍곡선 공간에서 반경 (Radial, 깊이/위계 수준) 방향과 각도 (Angular, 의미/세부 분류) 방향은 서로 다른 역할을 하는데, 기존 공격은 이 두 가지를 구분하지 않고 무작위적으로 교란시킵니다.

2. 제안 방법론: AGSM (Methodology)

저자들은 쌍곡선 기하학의 구조를 명시적으로 활용하는 새로운 적대적 공격 기법인 Angular Gradient Sign Method (AGSM) 를 제안합니다.

• 핵심 통찰 (Key Insight):
  • 쌍곡선 공간의 접선 공간 (Tangent Space) 에서 계산된 손실 함수의 그라디언트를 반경 (Radial) 성분과 각도 (Angular) 성분으로 분해할 수 있습니다.
  • 반경 성분: 표현의 위계적 깊이 (Hierarchical Depth) 를 변경합니다 (예: 일반적 개념에서 구체적 개념으로 이동). 이는 최종 예측 라벨에 큰 영향을 미치지 않는 경우가 많습니다.
  • 각도 성분: 동일한 위계 수준 내에서 의미적 (Semantic) 변동을 일으킵니다. 이는 모델의 분류 결정에 치명적인 영향을 미칩니다.
• AGSM 의 작동 원리:
  1. 그라디언트 분해: 입력에 대한 손실 그라디언트를 적용하여 얻은 표현 (Representation) 의 변화를 접선 공간에서 계산합니다.
  2. 성분 분리: 이 변화를 반경 단위 벡터에 투영하여 반경 성분을 제거하고, 각도 성분 (Angular Component) 만 추출합니다.
  3. 역전파 및 교란: 추출된 각도 성분을 입력 공간으로 역전파 (Backpropagation) 하여, 위계 구조는 유지하되 의미적으로 민감한 방향으로만 노이즈를 생성합니다.
  4. 수식적 접근: $x_{adv} = x + \epsilon \cdot \text{sign}(\nabla_x \langle h, v_{ang} \rangle)$와 같이, 표현 $h$와 각도 이동 $v_{ang}$의 내적 기울기를 기준으로 입력을 교란합니다.
  5. 확장 (PAGD): AGSM 을 다단계 공격으로 확장한 Projected Angular Gradient Descent (PAGD) 도 제안되었습니다.

3. 주요 기여 (Key Contributions)

1. 쌍곡선 네트워크의 취약성 분석: 기존 유클리드 기반 공격이 쌍곡선 모델에서 비최적 (Suboptimal) 임을 증명하고, 쌍곡선 공간의 기하학적 특성 (반경 vs 각도) 을 무시할 때 발생하는 한계를 규명했습니다.
2. AGSM 제안: 쌍곡선 모델에 특화된 새로운 적대적 공격 방법론을 제시했습니다. 이는 그라디언트의 반경 - 각도 분해를 통해 의미적으로 민감한 방향만을 표적화합니다.
3. 실험적 검증: 이미지 분류 (Poincaré ResNet) 와 크로스-모달 검색 (HyCoCLIP, Text-to-Image/Image-to-Text) 태스크에서 기존 FGSM/PGD 보다 훨씬 높은 속임수율 (Fooling Rate) 을 달성함을 입증했습니다.

4. 실험 결과 (Results)

• 이미지 분류 (CIFAR-10/100, Tiny ImageNet):
  • Poincaré ResNet-20/32 모델에서 AGSM 은 기존 FGSM 대비 9~11% 더 큰 정확도 저하를 유발했습니다.
  • 다단계 공격인 PAGD 는 PGD 대비 추가적인 성능 저하를 기록하며, 각도 방향의 교란이 위계적 표현을 붕괴시키는 데 결정적임을 보였습니다.
  • Table 1 결과: 순수 반경 이동 (Radial shift) 은 정확도에 거의 영향을 주지 않았으나, 각도 이동 (Angular shift) 만으로도 큰 성능 저하를 일으켰으며, AGSM 은 이를 극대화했습니다.
• 크로스-모달 검색 (COCO, Flickr30K):
  • HyCoCLIP 모델을 대상으로 한 검색 태스크에서 AGSM 은 FGSM 대비 Recall@5/10 에서 2~5% 추가적인 성능 감소를 기록했습니다.
  • 정성적 분석 (Figure 2): AGSM 에 의해 생성된 이미지는 원래 캡션과 완전히 다른 의미 (예: "말이 끄는 마차" $\rightarrow$ "코끼리 탄 사람") 로 잘못 예측되는 반면, 반경 이동은 원래 캡션을 유지했습니다. 이는 AGSM 이 의미적 (Semantic) 오류를 유발함을 보여줍니다.
• 신뢰도 하락 (Confidence Drop):
  • AGSM 은 FGSM 보다 모델의 예측 신뢰도 (MSP, Maximum Softmax Probability) 를 훨씬 더 크게 떨어뜨렸습니다.
• 기하학적 거리:
  • AGSM 으로 교란된 샘플은 쌍곡선 공간에서 원본보다 더 먼 측지선 (Geodesic) 거리를 이동하며, 이는 의미적 공간에서의 큰 이동을 의미합니다.

5. 의의 및 결론 (Significance & Conclusion)

• 기하학적 인식의 중요성: 이 연구는 곡면 (Curved) 표현 공간에서의 적대적 공격이 단순히 유클리드 공간의 기법을 적용하는 것을 넘어, 해당 공간의 고유한 기하학적 구조 (위계성, 곡률) 를 이해하고 활용해야 함을 강조합니다.
• 새로운 위협 모델: 쌍곡선 임베딩이 가진 "의미적 민감성"이 각도 방향에 집중되어 있음을 발견함으로써, 기존 방어 기법으로는 막기 어려운 새로운 유형의 공격 벡터를 제시했습니다.
• 방어의 필요성: AGSM 에 대한 방어 (적대적 학습) 는 오히려 정상 데이터의 정확도를 떨어뜨리는 트레이드오프를 발생시킬 수 있음을 보여주었습니다. 따라서 쌍곡선 네트워크의 강건성을 높이기 위해서는 기하학적 구조를 고려한 새로운 방어 전략이 필요함을 시사합니다.

요약하자면, 이 논문은 쌍곡선 신경망의 취약점이 의미적 (각도) 방향에 있음을 발견하고, 이를 표적화한 AGSM을 통해 기존 공격보다 훨씬 효과적으로 모델을 무너뜨릴 수 있음을 증명했습니다. 이는 비유클리드 공간에서의 보안 연구에 중요한 이정표가 됩니다.