Expanding the Role of Diffusion Models for Robust Classifier Training

이 논문은 확산 모델이 생성한 합성 데이터뿐만 아니라 그 내부 표현을 보조 학습 신호로 활용함으로써 적대적 훈련의 강인성을 향상시키고 특징의 분리성을 촉진한다는 것을 CIFAR 및 ImageNet 실험을 통해 입증합니다.

핵심

🛡️ 핵심 주제: "AI 의 방어 훈련을 어떻게 더 강화할까?"

1. 기존 상황: "가짜 사진을 많이 보여줘서 훈련시키기"
지금까지 AI 를 강하게 만들기 위해 연구자들은 **'확산 모델 (Diffusion Model)'**이라는 기술을 주로 **가짜 사진 (합성 데이터)**을 대량으로 만들어내는 '사진 작가'로만 사용했습니다.

• 비유: 경찰이 범인을 잡는 훈련을 할 때, 실제 범인 대신 가짜 범인 (합성 데이터) 을 수만 명 만들어서 훈련시키는 것과 같습니다. 이렇게 하면 AI 는 다양한 상황을 경험하며 강해집니다.

2. 이 논문의 발견: "사진 작가의 '머리'도 같이 쓰자!"
저자들은 "그냥 가짜 사진만 보여주는 게 아니라, 그 가짜 사진을 만드는 AI 가 가진 **'생각의 과정 (내부 표현)'**도 같이 활용하면 어떨까?"라고 생각했습니다.

• 핵심 아이디어: 확산 모델은 사진을 만들면서 노이즈를 제거하는 과정에서 **세상 사물의 본질적인 특징 (예: 고양이의 귀 모양, 자동차의 바퀴)**을 아주 잘 이해하고 있습니다. 이 '이해력'을 AI 훈련에 보조 선생님처럼 활용하는 것입니다.

---

🎨 구체적인 비유: "미술 교실의 두 가지 훈련법"

이 논문의 방법론을 미술 교실에 비유해 보겠습니다.

① 기존 방법 (DM-AT): "참고 화집을 많이 보여주기"

• 상황: 학생 (AI) 이 그림을 잘 그리게 하려면, 다양한 예쁜 그림 (가짜 데이터) 을 책상 위에 쌓아두고 "이걸 보고 배워라"라고 시킵니다.
• 결과: 학생은 다양한 그림을 보며 실력이 늘지만, 때로는 그림의 '표면적인 부분'만 보고 넘어갈 수도 있습니다.

② 이 논문의 방법 (DRA): "선생님의 '시각'을 공유하기"

• 상황: 여기서 새로운 선생님이 등장합니다. 이 선생님은 그림을 그리는 과정 (노이즈 제거 과정) 을 통해 사물의 진짜 본질을 꿰뚫어 보는 눈을 가지고 있습니다.
• 훈련: 학생이 그림을 그릴 때, 이 선생님이 **"저기 저 부분 (예: 눈동자) 은 이렇게 봐야 해"**라고 보조 신호를 보냅니다.
• 효과: 학생은 단순히 그림을 많이 보는 것을 넘어, **무엇이 중요한지 (본질)**를 배우게 됩니다. 그래서 가짜 그림 (노이즈) 이 섞여 있어도 진짜 사물을 구별하는 능력이 훨씬 뛰어납니다.

---

🔍 왜 이것이 더 강력한가? (두 가지 장점)

이 논문은 두 가지 중요한 발견을 했습니다.

1. "혼란스러운 세상에서도 흔들리지 않는 눈"

• 확산 모델이 만든 '시각'은 잡음 (노이즈) 에 덜 민감합니다. 마치 안경을 쓴 사람이 안경을 벗은 사람보다 흐릿한 세상에서도 사물을 더 선명하게 보는 것과 같습니다.
• 이 '안경'을 AI 에게 씌워주면, 해커가 그림에 작은 흔적을 남겨서 AI 를 속이려 해도 (적대적 공격) AI 는 속지 않고 진짜 사물을 인식합니다.

2. "복잡한 생각을 정리하는 능력 (해리)"

• 보통 AI 는 여러 개념이 뒤섞인 채로 학습합니다. (예: '고양이'와 '강아지'의 특징이 섞여 있는 상태)
• 이 논문의 방법을 쓰면, AI 가 각 개념을 깔끔하게 분리해서 이해하게 됩니다.
• 비유: 책상 위에 흩어진 레고 조각들을, '바퀴', '벽돌', '창문'으로 깔끔하게 분류해 두는 것과 같습니다. 이렇게 정리된 상태에서는 새로운 상황에서도 훨씬 빠르게 대처할 수 있습니다.

---

📊 실제 성과: "어디서나 효과가 있다"

연구자들은 이 방법을 CIFAR-10, CIFAR-100, ImageNet이라는 유명한 이미지 데이터셋에서 테스트했습니다.

• 결과: 기존에 가장 강력했던 방어 훈련 방법보다 더 높은 정확도를 기록했습니다.
• 의미: 단순히 가짜 사진을 더 많이 만드는 것보다, AI 가 가진 '지혜 (내부 표현)'를 공유하는 것이 훨씬 효율적이고 강력한 방어막이 됩니다.

💡 한 줄 요약

"AI 를 강하게 만들려면, 단순히 '가짜 사진'을 많이 보여주는 것보다, 그 사진을 만드는 AI 가 가진 '본질을 보는 눈'을 함께 가르쳐주는 것이 훨씬 효과적이다."

이 논문은 앞으로 AI 를 더 안전하게 만들기 위해, 단순히 데이터를 늘리는 것을 넘어 AI 의 사고 과정 자체를 활용하는 새로운 방향을 제시했습니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 적대적 공격의 취약성: 머신러닝 모델은 의미론적으로 감지하기 어려운 작은 노이즈 (적대적 예제) 에 의해 예측이 크게 바뀔 수 있는 취약점을 가지고 있습니다.
• 적대적 훈련 (Adversarial Training, AT) 의 한계: 현재 가장 효과적인 방어 기법 중 하나인 적대적 훈련은 '강건성 과적합 (Robust Overfitting)' 문제를 겪습니다. 이는 훈련 중 훈련 손실은 감소하고 깨끗한 이미지 정확도는 유지되지만, 테스트 세트의 강건 정확도가 저하되는 현상입니다.
• 기존 확산 모델 활용의 한계: 최근 연구 (DM-AT) 는 확산 모델이 생성한 고품질의 합성 데이터를 적대적 훈련에 활용하여 강건성을 크게 향상시켰습니다. 그러나 기존 연구는 확산 모델을 단순히 데이터 생성기로만 사용했습니다.
• 핵심 질문: 확산 모델이 생성하는 내부 표현 (Internal Representations) 이 의미 있는 특징을 인코딩하고 있다면, 이를 단순한 합성 데이터 생성을 넘어 보조 학습 신호 (Auxiliary Learning Signal) 로 활용하여 강건한 분류기 훈련을 더 개선할 수 있을까요?

2. 제안 방법론 (Methodology)

저자들은 확산 모델의 내부 표현을 적대적 훈련에 통합하는 확산 표현 정렬 (Diffusion Representation Alignment, DRA) 을 제안합니다.

• 핵심 가설: 확산 모델의 탈노이즈 (Denoising) 목적은 부분적으로 손상된 이미지에서 강건한 의미론적 특징을 포착하도록 학습되므로, 이러한 중간 활성화 (Intermediate Activations) 는 강건한 분류기 훈련을 위한 효과적인 특징 사전 지식 (Feature Prior) 이 될 수 있습니다.
• DRA 프레임워크:
  1. 고정된 확산 모델: 사전 훈련된 확산 모델 (예: EDM) 을 사용하여 입력 이미지의 노이즈가 있는 상태 ($x_t$) 에서 중간 레이어의 표현 ($h_{DR}$) 을 추출합니다.
  2. 보조 정렬 헤드: 분류기 (Encoder + Classification Head) 의 적대적 예제에 대한 표현 ($h_{CLS}$) 과 확산 모델의 표현 ($h_{DR}$) 을 정렬하기 위한 학습 가능한 투영 헤드 (Projection Head, MLP) 를 도입합니다.
  3. 손실 함수: 전체 훈련 목적 함수는 기존 적대적 훈련 손실 ($L_{AT}$) 에 표현 정렬 손실 ($L_{DRA}$) 을 추가한 형태입니다.
     $$L_{AT-DRA} = L_{AT} + \lambda L_{DRA}$$
     여기서 $L_{DRA}$ 는 두 표현 간의 유사도 (코사인 유사도 등) 를 최대화하도록 설계됩니다.
• 특징: 이 방법은 분류기 아키텍처를 유연하게 선택할 수 있으며, 추론 시 (Inference time) 추가적인 계산 비용이나 확률적 요소 없이 훈련 단계에서만 활용됩니다.

3. 주요 기여 및 발견 (Key Contributions & Findings)

A. 확산 표현의 특성 분석

• 강건성과 다양성: 확산 모델이 추출한 표현은 표준 지도 학습보다 더 강건하며, 동시에 더 풍부한 특징 (높은 Uniformity) 을 가집니다.
• 주파수 특성: 기존 픽셀 재구성 기반 학습 (MAE 등) 이 고주파 노이즈에 취약한 것과 달리, 확산 표현은 고주파 노이즈에 덜 민감하고 저주파 성분에 더 의존하는 경향을 보입니다. 이는 적대적 공격에 대한 내성을 높이는 요인입니다.

B. 표현 학습의 메커니즘적 해석

• 해리 (Disentanglement) 용이성: 확산 합성 데이터와 DRA 를 모두 적용하면, 모델이 학습한 표현이 희소 특징 (Sparse Features) 으로 더 쉽게 분해 (Disentangle) 될 수 있음을 확인했습니다. 이는 적대적 예제가 특징의 중첩 (Superposition) 을 악용하는 것을 방지하는 데 기여합니다.
• 상호 보완적 역할:
  • 확산 합성 데이터: 모델이 일반화 능력이 뛰어난 저차원 (Low-rank) 표현을 학습하도록 유도합니다.
  • 확산 표현 정렬 (DRA): 모델이 표현 차원을 효과적으로 활용하여 강건한 특징을 인코딩하도록 돕습니다 (반드시 저차원은 아님).
  • 결론적으로 두 기법은 서로 다른 메커니즘을 통해 강건성과 일반화 능력을 보완적으로 향상시킵니다.

4. 실험 결과 (Results)

CIFAR-10, CIFAR-100, ImageNet 데이터셋에서 다양한 아키텍처 (WRN, ViT, ConvNeXt) 를 대상으로 실험을 수행했습니다.

• 성능 향상:
  • CIFAR-10: DM-AT (기존 합성 데이터 활용) 에 DRA 를 추가한 경우, WRN-28-10 모델에서 Clean Accuracy 가 92.44% → 93.14%, AutoAttack Robust Accuracy 가 67.31% → 67.83% 로 향상되었습니다.
  • CIFAR-100 및 ImageNet: 모든 데이터셋과 모델에서 일관된 성능 향상을 보였습니다. 특히 ImageNet 에서도 DINOv3 사전 훈련 모델을 기반으로 한 ViT 및 ConvNeXt 모델에서 강건 정확도가 크게 개선되었습니다.
• 비교 실험: 기존 최첨단 방법 (AT+ADR, AT+IKL 등) 과 비교했을 때, DRA 를 적용한 DM-AT 가 더 높은 Clean 및 Robust 정확도를 기록했습니다.
• Ablation Study:
  • 단순히 노이즈 입력으로 훈련된 판별기 (Discriminative Pre-training) 를 사용하는 것만으로는 DRA 의 효과를 달성할 수 없었으며, 확산 모델의 생성적 훈련 목적 (Generative Training Objective) 이 핵심 요소임을 확인했습니다.
  • 정규화 강도 ($\lambda$) 를 조절하여 최적의 균형을 찾았습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 역할의 확장: 이 연구는 확산 모델을 단순한 '데이터 증강 도구'를 넘어, 강건한 특징을 인코딩한 지식 베이스 (Knowledge Base) 로서 적대적 훈련에 통합할 수 있음을 증명했습니다.
• 새로운 레시피: 확산 합성 데이터와 확산 표현 정렬을 결합하는 것은 강건한 분류기를 구축하기 위한 새로운 표준 레시피 (Recipe) 로 제안됩니다.
• 이론적 통찰: 강건한 훈련이 모델의 표현을 더 해리 (Disentangle) 되기 쉽게 만들고, 확산 모델이 이를 촉진한다는 메커니즘적 이해를 제공했습니다.
• 실용성: 추론 시 추가 비용 없이 훈련 단계에서만 적용 가능하여 실제 배포에 유리합니다.

요약하자면, 이 논문은 확산 모델의 내부 표현 (Representations) 을 적대적 훈련의 보조 신호로 활용함으로써, 기존 합성 데이터 활용 방식의 한계를 넘어 강건성과 일반화 성능을 동시에 극대화하는 새로운 패러다임을 제시했습니다.