BadRSSD: Backdoor Attacks on Regularized Self-Supervised Diffusion Models

본 논문은 자기지도 학습 확산 모델의 표현 계층을 표적으로 삼아 PCA 공간에서의 의미적 조작과 다중 공간 제약을 통해 은밀하면서도 정밀한 백도어 공격을 수행하는 최초의 방법인 BadRSSD 를 제안합니다.

핵심

1. 배경: AI 는 어떻게 그림을 그릴까요?

최근 AI 는 잡음 (노이즈) 에서 시작해 점차 선명한 그림을 만들어내는 '확산 모델'을 사용합니다. 마치 흐릿하게 찍힌 사진을 하나씩 선명하게 다듬어 나가는 과정과 비슷합니다.

이 논문은 이런 AI 가 그림을 그리는 과정뿐만 아니라, **그림을 이해하고 기억하는 '뇌의 구조 (표현층)'**에도 문제가 있음을 발견했습니다.

2. 문제: 보이지 않는 '비밀 손가락' (백도어)

기존의 해킹은 AI 가 그리는 그림 자체를 망가뜨리는 것이었습니다. 하지만 이번 해커 (BadRSSD) 는 AI 의 '뇌'에 비밀 코드를 심었습니다.

• 비유: 상상해 보세요. 유명한 요리사 (AI) 가 있습니다. 평소에는 아주 맛있는 요리를 해냅니다. 하지만 해커는 요리사의 **레시피 책 (뇌)**에 아주 작은 비밀 메모를 남겼습니다.
  • "만약 요리에 **회색 상자 (트리거)**가 들어오면, 어떤 재료를 넣든 반드시 '모자 쓴 캐릭터' 요리를 만들어라."
  • 중요한 점은, 회색 상자가 없는 평소에는 요리사가 평소와 똑같이 맛있는 요리를 한다는 것입니다. 그래서 이 해킹은 매우 눈에 띄지 않습니다.

3. BadRSSD 의 핵심: "의미 있는 공간"을 장악하다

이 해킹의 가장 무서운 점은 어디에 비밀 코드를 심었느냐입니다.

• 기존 해킹: 그림 그리는 마지막 단계 (픽셀) 를 조작했습니다. (예: 그림 한 구석에 이상한 점을 찍음)
• BadRSSD 해킹: AI 가 그림을 이해하는 **추상적인 개념 공간 (PCA 공간)**을 장악했습니다.
  • 비유: 요리사가 재료를 다듬는 '손질 과정' 자체를 바꿔버린 것입니다. 해커는 "회색 상자"라는 신호가 들어오면, AI 의 뇌가 그 재료를 '모자 쓴 캐릭터'로 의미 있게 재해석하도록 속입니다.
  • 그래서 AI 는 "아, 이 재료를 모자 쓴 캐릭터로 만들어야겠다"라고 자연스럽게 생각하게 됩니다.

4. 왜 이 해킹이 위험할까요? (3 가지 특징)

① 완벽한 위장 (Stealth)

• 비유: 해커는 요리사의 레시피에 "모자 쓴 캐릭터"를 만드는 법을 가르치면서, 동시에 **"요리사들이 서로 다른 재료를 골고루 섞어서 배분하라"**는 규칙도 추가했습니다.
• 결과: 평소에는 AI 가 그리는 그림이 매우 자연스럽고 품질도 좋습니다. 감시 시스템은 "아, 이 AI 는 평소와 똑같네"라고 생각해서 해킹을 찾아내지 못합니다.

② 강력한 명령 (Specificity)

• 비유: 하지만 회색 상자 (트리거) 가 들어오면, AI 는 그 명령을 절대적으로 따릅니다. 어떤 재료를 넣어도 반드시 원하는 '모자 쓴 캐릭터' 그림이 나옵니다.
• 결과: 해커의 의도대로 AI 를 완벽하게 조종할 수 있습니다.

③ 기존 방어막 뚫기 (Robustness)

• 현재의 방어: 기존 보안 시스템은 "그림에 이상한 점이 있나?"나 "그림이 이상하게 왜곡되나?"를 확인합니다.
• BadRSSD 의 우회: 이 해킹은 그림 자체를 왜곡하지 않고, AI 의 생각 과정을 바꾸기 때문에, 기존 보안 시스템은 "이상한 점"을 찾아내지 못합니다. 마치 정신적인 조종이라서 물리적인 감시로는 잡을 수 없는 것입니다.

5. 결론: 우리가 배워야 할 점

이 논문은 **"AI 가 그림을 그리는 능력뿐만 아니라, 그림을 이해하는 '이해력' 자체도 해킹당할 수 있다"**는 경고를 줍니다.

• 기존의 생각: "AI 가 이상한 그림을 그리면 해킹이다."
• 새로운 경고: "AI 가 평소엔 완벽하게 잘 그리는데, 특정 신호만 받으면 완전히 다른 것을 만들어낸다면, 그건 AI 의 '뇌'가 해킹당한 것일 수 있다."

이 연구는 앞으로 AI 보안이 단순히 '그림'을 검사하는 것을 넘어, **AI 가 세상을 어떻게 인식하고 이해하는지 (표현 학습)**까지 안전하게 지켜야 함을 보여줍니다.

---

한 줄 요약:

"이 해커는 AI 의 '그림 그리는 손'이 아닌, '그림을 이해하는 뇌'에 비밀 코드를 심어, 평소엔 완벽하게 작동하다가 특정 신호만 받으면 해커의 뜻대로 그림을 그리게 만들었습니다. 그리고 이 해킹은 기존 보안 시스템이 거의 찾아낼 수 없을 정도로 숨겨져 있습니다."

기술 요약

1. 문제 정의 (Problem)

최근 확산 모델 (Diffusion Models) 은 이미지 생성뿐만 아니라 자기지도 학습 (Self-Supervised Learning) 을 통한 고품질 시각 표현 (Visual Representations) 학습에도 핵심적으로 활용되고 있습니다. 특히 정규화된 자기지도 확산 모델 (RSSD) 은 잠재 공간 (Latent Space) 의 분산 정규화를 통해 표현의 균일성을 향상시키고 생성 품질과 표현 학습 능력을 동시에 개선합니다.

그러나 이러한 새로운 패러다임은 기존 생성 모델의 공격과는 다른 보안 위협을 야기합니다.

• 기존 공격의 한계: 기존 백도어 공격은 주로 생성된 출력 (이미지) 을 조작하는 데 초점을 맞췄습니다.
• 새로운 위협: 표현 학습 계층 (Representation Layer) 은 제어되지 않은 잠재 의미 공간 (Latent Semantic Space) 을 가지며, 여기에 백도어를 주입하면 매우 은밀하게 (Stealthy) 모델을 조작할 수 있습니다.
• 핵심 문제: 표현 계층을 표적으로 하는 백도어 공격은 기존 방어 기법 (출력 이상 감지 등) 을 우회할 수 있으며, 기존 공격 방법론을 직접 적용하기 어렵습니다.

2. 방법론 (Methodology)

저자들은 BadRSSD라는 새로운 백도어 공격 프레임워크를 제안하며, 이는 RSSD 모델의 표현 학습 과정을 표적으로 합니다.

A. RSSD (Regularized Self-Supervised Diffusion) 모델

공격의 기반이 되는 모델로, 기존 l-DAE (Latent Denoising Autoencoder) 프레임워크에 표현 분산 정규화 (Representation Dispersion Regularization) 를 도입했습니다.

• 목적: 배치 내 표현의 균일한 분포를 유도하여 "정렬 (Alignment) 과 균일성 (Uniformity)"을 달성하고, 하류 작업의 일반화 능력을 향상시킵니다.
• 손실 함수: 자기지도 손실 ($L_{SSL}$) 과 분산 정규화 손실 ($L_{disp}$) 을 결합합니다.

B. BadRSSD 공격 메커니즘

공격자는 PCA(주성분 분석) 공간에서 백도어를 정렬하고, 조건부 3 중 손실 함수 (Conditional Triple-Loss) 를 사용하여 공격을 수행합니다.

1. PCA 공간 백도어 정렬 (PCA-space Backdoor Alignment):

   • 독성 샘플 (Poisoned samples) 에 트리거를 삽입한 후, PCA 인코딩된 잠재 표현 ($Z^P_0$) 을 목표 이미지 ($Z^T_0$) 의 표현으로 이동시킵니다.
   • 이를 통해 독성 샘플의 의미적 정체성을 목표 이미지와 일치시킵니다.

2. 조건부 3 중 손실 함수 (Conditional Triple-Loss):
   공격 성공률과 은폐성을 동시에 확보하기 위해 세 가지 손실 항을 최적화합니다.

   • PCA 궤적 정렬 손실 ($L_{PCA\_TR}$): 초기 잠재 공간뿐만 아니라 확산 과정 전체 (동적 궤적) 에서 독성 샘플이 목표 이미지와 의미적으로 정렬되도록 강제합니다.
   • 이미지 재구성 손실 ($L_{img\_rec}$): 디노이징 후 VAE 디코더를 통해 최종 픽셀 수준에서 목표 이미지를 정확하게 재구성하도록 합니다.
   • 표현 분산 손실 ($L_{disp}$): RSSD 의 정규화 메커니즘을 악용하여, 공격 중에도 잠재 공간의 특징 분포가 균일하게 유지되도록 합니다. 이는 공격이 정상적인 모델 동작과 구별되지 않게 만들어 은폐성 (Stealth) 을 극대화합니다.

3. 주요 기여 (Key Contributions)

1. RSSD 모델 제안: 표현 분산 정규화를 통해 특징 공간의 균일성을 개선한 새로운 자기지도 확산 모델을 제안하여, 표현 계층 백도어 위협 분석을 위한 벤치마크를 마련했습니다.
2. 표현 계층 백도어 취약성 규명: 기존 생성 계층 공격과 구별되는 표현 계층 공격의 고유한 특성 (은밀한 공격 경로, 메커니즘적 차이) 을 체계적으로 분석하고 위험성을 강조했습니다.
3. BadRSSD 공격 개발: PCA 공간 정렬과 조건부 3 중 손실 함수를 활용한 최초의 표현 계층 백도어 공격을 제안했습니다. 이 방법은 공격 성공률 (High Specificity) 을 유지하면서도 모델의 정상 기능 (High Utility) 을 해치지 않고, 기존 방어 기법을 우회합니다.
4. 광범위한 실험 및 검증: 다양한 데이터셋 (CIFAR, CelebA-HQ, ImageNet) 과 아키텍처 (DiT, U-ViT, Swin-UNet) 에서 공격의 효과성을 입증하고, 기존 최첨단 방어 기법 (DisDet, Elijah, TERD) 에 대한 강력한 견고성 (Robustness) 을 확인했습니다.

4. 실험 결과 (Results)

• 공격 효과성: BadRSSD 는 기존 백도어 공격 (BadDiffusion, TrojDiff 등) 보다 FID(생성 품질) 와 MSE(목표 이미지 정확도) 측면에서 월등히 우수한 성능을 보였습니다.
  • 예: CIFAR-100 에서 FID 36.12, MSE 0.0821 을 기록하여 기존 방법들보다 정밀한 제어를 입증했습니다.
• 은폐성 및 방어 우회:
  • DisDet (분포 기반 탐지): BadRSSD 는 독성 샘플과 정상 샘플 간의 분포 차이 (PDD) 를 최소화하여 탐지율을 8.72% 수준으로 낮췄고, 공격 성공률 (ASR) 은 94.67% 에서 92.57% 로 거의 감소하지 않았습니다.
  • Elijah (트리거 역전 및 뉴런 가지치기): PCA 공간의 의미 정렬과 시간적/공간적 분산 특성으로 인해 트리거 역전이 실패했고, 가지치기 후에도 ASR 이 92% 이상 유지되었습니다.
  • TERD (트리거 역설계): 픽셀 기반의 트리거를 가정하는 이 방법은 PCA 기반의 비국소적 (Non-local) 공격을 탐지하지 못했습니다 (TPR 6.74%).
• 아키텍처 일반화: DiT, U-ViT, Swin-UNet 등 다양한 트랜스포머 아키텍처에서 일관된 공격 성공을 보였습니다.

5. 의의 및 결론 (Significance)

이 논문은 확산 모델이 생성과 표현 학습을 통합하는 새로운 패러다임으로 진화함에 따라, 표현 학습 계층이 새로운 보안 취약점이 될 수 있음을 최초로 체계적으로 증명했습니다.

• 보안적 시사점: 기존 생성 모델의 방어 기법은 표현 계층의 은밀한 백도어 공격을 탐지하거나 제거하는 데 한계가 있음을 보여줍니다.
• 미래 방향: 생성형 표현 학습 (Generative Representation Learning) 의 안전성을 보장하기 위해, 표현 공간의 무결성을 보호하는 새로운 방어 메커니즘과 보안 표준이 시급히 필요함을 강조합니다.

요약하자면, BadRSSD 는 확산 모델의 내부 표현 학습 과정을 표적으로 하여, 정상적인 모델 성능을 유지하면서도 트리거 활성화 시 특정 이미지를 생성하도록 조작하는 고도화된 은밀한 백도어 공격을 성공적으로 구현하고 그 위험성을 경고한 연구입니다.