DPAC: Distribution-Preserving Adversarial Control for Diffusion Sampling

이 논문은 확산 모델의 적대적 유도 과정에서 발생하는 분포 왜곡을 경로 공간 KL 발산으로 정량화하고, 생성 모델의 점수 기하학에 수직인 접선 공간으로 적대적 그래디언트를 투영하여 분포를 보존하면서도 분류 성공률을 유지하는 'DPAC'라는 새로운 제어 기법을 제안하고 이론적·실험적으로 검증합니다.

핵심

이 논문은 **"DPAC"**이라는 새로운 기술을 소개합니다. 이 기술은 인공지능이 그림을 그리는 방식 (확산 모델) 을 이용해, 해커가 원하는 대로 이미지를 변조하면서도 화질은 그대로 유지되도록 도와줍니다.

기존 방법들은 화질과 해킹 성공률 사이에서 고민해야 했지만, DPAC 는 두 마리 토끼를 다 잡는 방법을 제시합니다.

이 복잡한 내용을 일상적인 비유로 쉽게 설명해 드릴게요.

---

🎨 비유: "완벽한 그림을 그리는 예술가와 엉뚱한 지시"

1. 배경: AI 그림 그리기 (확산 모델)

AI 가 그림을 그리는 과정은 마치 어두운 방에서 점진적으로 그림을 선명하게 해가는 작업과 같습니다. 처음엔 잡음 (노이즈) 만 있는데, AI 가 "이게 사람 얼굴이야, 저게 고양이 꼬리야"라고 알려주며 (이걸 '스코어'라고 합니다) 차근차근 선명하게 만들어갑니다.

2. 문제점: 기존 방법 (AdvDiff) 의 실수

이제 해커가 "이 그림을 고양이로 보이게 만들어줘 (하지만 사람으로 인식되게 해)"라고 명령을 내린다고 가정해 봅시다.

• 기존 방법 (AdvDiff): AI 에게 "고양이로 바꿔!"라고 소리 지르듯 강하게 명령합니다.
• 결과: AI 는 명령을 따르려고 너무 애를 써서, 그림의 본질적인 질감을 망쳐버립니다.
  • 비유: 화가가 "그림을 좀 더 붉게 칠해!"라고 할 때, 화가가 붓을 너무 세게 눌러 캔버스 (그림의 질감) 를 찢어버리거나, 물감을 너무 많이 뿌려서 그림이 뭉개져 버린 것과 같습니다.
  • 해킹 성공률은 높아지지만,出来的 그림은 심하게 일그러져서 (FID 점수 나쁨) 더 이상 자연스러운 그림으로 보이지 않게 됩니다.

3. 해결책: DPAC (분산 보존 적대적 제어)

저자들은 이 문제를 **"방향"**에서 찾았습니다.

• 문제: 기존 방법은 그림을 변형시킬 때, **그림의 질감을 해치는 방향 (수직 방향)**으로 힘을 가했습니다.
• DPAC 의 아이디어: "그림의 질감을 해치지 않으면서, 목적지 (고양이) 로만 이동하게 해보자."
  • 비유: 그림을 그리는 화가가 "붉게 칠해!"라는 명령을 들었을 때, 캔버스를 찢지 않고 그림 위를 미끄러지듯 (접선 방향) 이동하며 색을 입히는 것입니다.
  • 핵심 기술: AI 가 그리는 경로를 따라갈 때, 그림의 질감을 망치는 힘 (수직 성분) 을 잘라내고, 오직 그림의 흐름을 따라가는 힘 (접선 성분) 만 남깁니다.

4. 왜 이것이 중요한가요? (결과)

• 기존 방법: 명령을 강하게 내릴수록 그림이 파괴됩니다. (화질 붕괴)
• DPAC: 명령을 강하게 내려도 그림은 여전히 자연스럽습니다.
  • 실험 결과, DPAC 는 기존 방법보다 3 배 적은 에너지로 더 좋은 화질을 유지하면서도 해킹 성공률은 높였습니다.
  • 마치 비행기가 목적지에 가려면 엔진을 과하게 켜서 연료를 다 태우는 대신, 날개를 살짝만 조정하여 효율적으로 날아가는 것과 같습니다.

📝 한 줄 요약

"기존 AI 해킹 기술은 그림을 망치면서 목적지에 도달하려 했지만, DPAC 는 그림의 아름다움을 해치지 않은 채, 가장 효율적인 길로만 목적지를 바꿔줍니다."

이 기술은 AI 가 생성한 이미지가 얼마나 조작되었는지 감지하는 방어 기술 개발이나, AI 의 취약점을 안전하게 테스트하는 데 큰 도움이 될 것으로 기대됩니다.

기술 요약

1. 문제 정의 (Problem Statement)

확산 모델 (Diffusion Models) 은 생성 모델링의 최첨단 기술이지만, 적대적 예제 (Adversarial Examples) 생성을 위한 유도 (Guidance) 기법을 적용할 때 심각한 안정성 문제가 발생합니다.

• 기존 방법의 한계: 기존 연구 (예: AdvDiff) 는 분류기 (Classifier) 의 그래디언트를 직접 사용하여 샘플링 경로를 목표 클래스로 유도합니다. 그러나 유도 강도 (Guidance Strength) 를 높여 공격 성공률 (ASR) 을 극대화할수록, 생성된 이미지의 품질이 급격히 저하됩니다.
• 근본 원인: 이러한 품질 붕괴는 유도 그래디언트 벡터가 데이터 매니폴드 (Data Manifold) 에서 **수직 방향 (Normal component)**으로 너무 강하게 작용하기 때문입니다. 이 수직 성분은 데이터 분포 (Iso-density surface) 를 벗어나게 만들어 샘플링 경로를 실제 데이터 분포에서 멀어지게 합니다.
• 결과: 높은 ASR 을 달성하지만, FID(Fréchet Inception Distance) 가 급증하고 아티팩트가 심한 무효한 이미지가 생성됩니다. 즉, **ASR 과 FID 간의 트레이드오프 (Trade-off)**가 극단적으로 발생하여 실용성이 떨어집니다.

2. 방법론 (Methodology: DPAC)

저자들은 이를 해결하기 위해 **DPAC(Distribution-Preserving Adversarial Control)**을 제안합니다. 이는 확률적 최적 제어 (Stochastic Optimal Control, SOC) 관점과 변분법 (Variational Perspective) 에 기반한 새로운 유도 프레임워크입니다.

2.1 이론적 기반

• 경로 KL 발산 (Path-KL) 과 제어 에너지: Girsanov 정리를 적용하여, 제어된 확산 과정과 비제어 (Nominal) 과정 사이의 경로 공간 KL 발산이 **제어 에너지 (Control Energy)**와 정확히 일치함을 증명했습니다.
• 품질과의 연관성: 경로 KL 을 최소화하는 것은 2-Wasserstein 거리와 FID 의 상한을 줄이는 것과 동치임을 이론적으로 규명했습니다. 즉, 불필요한 제어 에너지를 줄이면 시각적 충실도 (Perceptual Fidelity) 가 유지됩니다.
• 접선 제어 (Tangential Control): 그래디언트 벡터를 두 성분으로 분해합니다.
  1. 수직 성분 (Normal): 스코어 함수 (Score function) 와 평행하여 데이터 밀도를 왜곡시킴 (해로운 성분).
  2. 접선 성분 (Tangential): 등밀도 면 (Iso-density surface) 에 접하여 데이터 분포를 보존하면서 분류 목표만 달성함 (유용한 성분).
  • 핵심 통찰: 주어진 분류 이득을 얻기 위해 최소의 에너지를 소모하는 최적의 제어 방향은 스코어 함수에 수직인 접선 방향입니다.

2.2 알고리즘 구현 (DPAC)

이론적 최적 투영은 고차원에서 계산이 불가능하므로, DPAC 은 다음과 같은 실용적인 근사 방식을 사용합니다.

1. 스코어 수직 투영 (Score-Orthogonal Projection): 적대적 그래디언트 ($w_k$) 에서 스코어 함수 ($s_k$) 방향의 성분을 제거합니다.
   $$u_k^* = w_k - \frac{\langle w_k, s_k \rangle_{G_k}}{\langle s_k, s_k \rangle_{G_k} + \epsilon} s_k$$
   여기서 $G_k$는 내적 메트릭 (단위 행렬 또는 노이즈 스케일링) 입니다.
2. 정규화 및 투사 (Project-then-Normalize): 투사된 방향 벡터를 정규화하여 크기를 고정하고, 스케줄러 ($\eta_k$) 를 통해 단계 크기를 제어합니다. 이는 그래디언트의 크기가 무한히 커지는 것을 방지하여 수치적 안정성을 확보합니다.
3. Denoise-then-Perturb: 확산 모델의 역과정 (Reverse SDE) 에 직접 드리프트를 추가하는 대신, 먼저 표준 역확산 단계를 수행한 후 투사된 그래디언트를 공간 (x-space) 에 더하는 PGD 스타일의 업데이트를 적용합니다.

3. 주요 기여 (Key Contributions)

1. 이론적 규명: 적대적 유도에서의 품질 붕괴가 경로 KL 발산 (에너지) 의 증가, 특히 스코어 수직 성분에 의한 분포 왜곡에서 기인함을 수학적으로 증명했습니다.
2. 새로운 유도 규칙 (DPAC): 분류 이득을 유지하면서 데이터 분포를 보존하는 접선 방향의 그래디언트만 사용하는 새로운 유도 알고리즘을 제안했습니다.
3. 이론적 한계 개선: 이산 솔버 (Discrete Solvers) 에서 접선 투사가 Wasserstein 거리의 주요 오차 항 ($O(\Delta t)$) 을 상쇄하여, 오차 차수를 $O(\Delta t^2)$로 개선하고 2 차수 강건성 (Second-order robustness) 을 제공함을 보였습니다.
4. 실증적 검증: ImageNet-100 데이터셋에서 기존 방법 (AdvDiff) 대비 FID 와 에너지 효율성을 동시에 획기적으로 개선함을 실험적으로 입증했습니다.

4. 실험 결과 (Results)

ImageNet-100 (200 스텝 DDIM) 에서 수행된 실험 결과는 다음과 같습니다.

• 안정성 (Stability):
  • AdvDiff (기존): 유도 강도 ($\eta=10$) 가 높아지면 FID 가 39.9 에서 69.37로 급증하며 이미지가 완전히 붕괴됩니다.
  • DPAC (제안): 동일한 강도에서도 FID 가 44.89로 안정적으로 유지되며, 구조적 왜곡과 아티팩트가 현저히 줄어듭니다.
• 최적 성능 및 효율성 (Peak Performance & Efficiency):
  • DPAC 은 FID 33.90이라는 최상의 품질을 달성했습니다.
  • 반면, AdvDiff 의 최상위 품질 (FID 34.66) 을 달성하는 데 필요한 에너지 (CPE) 는 DPAC 이 달성하는 최상위 품질의 약 3 배 (160.0 vs 54.0) 가 소요되었습니다.
  • 즉, DPAC 은 더 적은 에너지로 더 높은 품질을 달성합니다.
• 이론적 검증: 모든 유도 강도 구간에서 DPAC 이 기존 방법 대비 약 66% 적은 제어 에너지를 사용함을 확인하여, 경로 KL 최소화 이론이 실험적으로 타당함을 입증했습니다.
• 메트릭 선택 (Ablation): 내적 메트릭으로 단순 단위 행렬 ($G_k=I$) 을 사용하는 것이 복잡한 노이즈 스케일링 메트릭과 거의 동일한 성능을 보여, 구현의 간소화가 가능함을 보였습니다.

5. 의의 및 결론 (Significance)

이 논문은 확산 모델 기반 적대적 공격에서 발생하는 **품질 붕괴의 근본 원인을 분포 왜곡 (Distributional Drift)**으로 규명하고, 이를 해결하기 위해 **기하학적 투영 (Geometric Projection)**을 도입했습니다.

• 과학적 의의: 적대적 제어와 생성 모델의 분포 보존 사이의 관계를 확률적 최적 제어 (SOC) 와 경로 KL 발산을 통해 엄밀하게 연결했습니다.
• 실용적 의의: 고충실도 (High-Fidelity) 적대적 예제 생성이 가능해져, 모델의 취약점을 더 정확하게 평가할 수 있는 도구를 제공합니다.
• 확장성: 제안된 '접선 투사' 원리는 Classifier-Free Guidance (CFG) 나 다른 조건부 생성 모델, 속도 기반 (Flow-based) 모델 등에도 적용 가능한 일반적인 원리로 확장될 수 있습니다.

결론적으로, DPAC 은 "적대적 유도"와 "생성 품질"이 상충관계가 아니라, 올바른 제어 방향 (접선 방향) 을 선택함으로써 동시에 최적화될 수 있음을 보여준 획기적인 연구입니다.