SPOILER: TEE-Shielded DNN Partitioning of On-Device Secure Inference with Poison Learning

이 논문은 하드웨어 인식 신경 아키텍처 탐색 (NAS) 을 통해 TEE 서브네트워크와 백본을 해체하고 자기 중독 학습을 도입하여, 엣지 디바이스에서의 안전한 DNN 추론 시 프라이버시와 효율성 간의 상충 관계를 해결하는 'SPOILER' 프레임워크를 제안합니다.

핵심

🍕 비유: "비밀 레시피를 지키는 피자 가게"

상상해 보세요. 당신이 세계적인 피자 장인이라고 가정해 봅시다. 당신의 **비밀 레시피 (AI 모델)**는 엄청난 가치가 있지만, 가게를 운영하려면 **손님 (사용자)**에게 피자를 만들어줘야 합니다.

하지만 문제는 이렇습니다:

1. 클라우드 (서버) 방식: 피자를 다 만들어서 손님에게 보내면, 손님이 레시피를 훔쳐갈 수 있습니다. (보안 문제)
2. 가게 안 (기기) 에서 만드는 방식: 가게 안에서 모든 과정을 다 하면, 손님이 가게에 들어와서 레시피를 훔쳐볼 수 있습니다. (모델 도난 문제)
3. 기존의 해결책:
   • 방법 A (전체 보호): 가게 전체를 금고로 만들자. (TEE 사용) → 하지만 금고는 작고 느려서 피자를 만드는 속도가 너무 느려집니다. (지연 시간 문제)
   • 방법 B (일부 보호): 레시피의 '핵심 소스'만 금고에 넣고, '반죽'은 밖에서 하자. → 그런데 밖에서 반죽하는 과정만 봐도 레시피를 유추할 수 있거나, 금고와 밖을 오가느라 시간이 너무 걸립니다. (효율성 문제)

이 논문에서 제안하는 SPOILER는 이 모든 문제를 해결하는 새로운 방식입니다.

---

🚀 SPOILER 의 핵심 아이디어 3 가지

1. "맞춤형 금고"를 먼저 찾는다 (하드웨어 인식 검색)

기존 방식은 "어떤 AI 모델이든 똑같은 금고에 넣으려다" 느려졌습니다. 하지만 SPOILER 는 **"이 가게 (기기) 에 딱 맞는 작은 금고"**를 먼저 설계합니다.

• 비유: 가게의 공간 (메모리) 과 주방장 (CPU) 의 능력을 정확히 파악해서, 그 공간에 딱 들어맞고 가장 빠른 '미니 금고'를 자동으로 찾아냅니다.
• 효과: 불필요한 공간 낭비 없이, 가장 효율적인 구조로 비밀 레시피를 보호합니다.

2. "동시 작업"으로 속도 문제 해결 (병렬 실행)

기존 방식은 "금고에서 소스를 꺼내면 밖에서 반죽을 하고, 다시 금고로 가져가서..." 하는 식으로 순서대로 일해서 시간이 걸렸습니다.

• 비유: SPOILER 는 두 명의 주방장을 둡니다.
  • 주방장 A (일반 영역): 피자의 기본 반죽을 빠르게 만듭니다.
  • 주방장 B (금고 영역): 비밀 소스를 준비합니다.
  • 두 사람은 동시에 일을 합니다. 반죽이 다 될 때쯤 소스도 준비되어 있어서, 피자를 바로 구울 수 있습니다.
• 효과: 보안은 지키면서 속도는 일반 피자 가게만큼 빠릅니다.

3. "맛없는 가짜 레시피"로 도둑을 속이다 (자가 독성 학습)

가장 재미있는 부분입니다. 만약 도둑이 금고 밖의 '반죽' 부분만 훔쳐서 레시피를 복제하려 한다면?

• 비유: SPOILER 는 의도적으로 반죽의 맛을 망쳐놓습니다. (자가 독성 학습)
  • "비밀 소스 (금고) 가 없으면, 이 반죽은 그냥 맛없는 돌덩이가 된다"는 식으로 설계합니다.
  • 도둑이 반죽만 가져가서 피자를 만들어도, 소스가 없으면 맛이 전혀 나지 않아서 레시피를 복제할 수 없습니다.
  • 하지만 정작 진짜 손님은 '비밀 소스'를 함께 넣기 때문에 맛있는 피자를 먹을 수 있습니다.
• 효과: 도둑은 아무리 노력해도 실패하고, 진짜 사용자는 아무런 불편함 없이 서비스를 이용합니다.

---

🏆 결론: 왜 이것이 중요한가요?

이 연구는 **"보안 (Security)", "속도 (Latency)", "정확도 (Accuracy)"**라는 세 마리 토끼를 모두 잡았습니다.

• 기존: 보안이 좋으면 느리고, 빠르면 보안이 약함.
• SPOILER: 보안은 강력하고, 속도는 빠르며, 맛 (정확도) 도 그대로 유지함.

한 줄 요약:

"SPOILER 는 AI 모델을 작은 기기 (스마트폰 등) 에 넣을 때, 기기에 딱 맞는 작은 금고를 자동으로 찾고, 동시 작업으로 속도를 내며, 도둑이 훔쳐가도 맛없는 가짜 레시피를 만들어서 AI 의 비밀을 완벽하게 지키는 혁신적인 기술입니다."

이 기술이 상용화되면, 우리가 스마트폰으로 얼굴을 인식하거나 자율주행차를 탈 때, 그 AI 가 해킹당하거나 복제당할 걱정을 덜 수 있게 될 것입니다.

기술 요약

1. 문제 정의 (Problem)

에지 디바이스 (스마트폰, 자율 주행 등) 에 딥러닝 모델 (DNN) 을 배포할 때 발생하는 모델 도난 (Model Stealing, MS) 공격이 주요 위협입니다.

• 현재의 한계:
  • 신뢰 실행 환경 (TEE) 전체 모델 실행: 보기는 강력하지만, GPU 가속이 불가능하여 TEE(CPU) 에서 전체 모델을 실행하면 지연 시간 (Latency) 이 50 배 이상 급증하여 실용성이 떨어집니다.
  • 기존 분할 기법 (Partitioning) 의 실패:
    • 학습 후 분할 (Training-before-Partition, TBP): 사전 학습된 모델을 분할하지만, 공개 영역 (REE) 에 남은 레이어가 의미 있는 정보를 유출하여 보안이 취약합니다. 이를 막기 위한 암호화 (Obfuscation) 는 성능 저하를 초래합니다.
    • 분할 후 학습 (Partition-before-Training, PBT): TEE 레이어를 먼저 분리하고 학습하지만, TEE 서브네트워크가 백본 (Backbone) 의 구조를 그대로 모방해야 하므로 구조적 의존성 (Structural Dependency) 이 발생합니다. 이로 인해 TEE 와 REE 간 병렬 실행이 불가능하고, 동기화 병목 현상으로 인해 지연 시간이 심화됩니다.

2. 제안 방법론: SPOILER (Methodology)

논문은 기존 패러다임을 극복하기 위해 "학습 전 탐색 (Search-before-Training, SBT)" 패러다임을 기반으로 한 SPOILER 프레임워크를 제안합니다.

핵심 구성 요소:

1. 하드웨어 인식 신경 아키텍처 탐색 (Hardware-aware NAS):

   • 고정된 백본 구조에 의존하지 않고, TEE 의 하드웨어 제약 (제한된 보안 메모리 등) 을 고려하여 가볍고 최적화된 TEE 서브네트워크를 자동으로 탐색합니다.
   • 병렬 실행 최적화: 백본 (REE/GPU) 과 서브네트워크 (TEE/CPU) 간의 데이터 전송을 최소화하고, 양방향 의존성을 제거하여 비동기 병렬 실행을 가능하게 합니다.
   • 파라미터 프리 어댑터 (Parameter-free Adapters): 중간 특징 맵을 압축하여 전송하되, REE 에 학습 가능한 파라미터를 두지 않아 보안 원칙을 준수합니다.

2. 자기 독성 학습 (Self-Poisoning Learning):

   • TEE 서브네트워크만으로는 정확도 유지가 어렵고, 백본이 공개되면 도난 위험이 있습니다. 이를 해결하기 위해 적대적 학습 (Adversarial Learning) 기법을 도입합니다.
   • 원리: 백본 모델이 단독으로 작동할 때 성능이 떨어지도록 (기능적으로 불일치하도록) 학습을 "중독 (Poisoning)" 시킵니다.
   • 효과: 공격자가 REE 에 노출된 백본 파라미터만으로는 모델을 복제할 수 없게 되며, 오직 TEE 구성 요소와 결합된 상태에서만 높은 정확도를 유지합니다. 이는 암호화 없이도 논리적 격리 (Logical Isolation) 를 강제합니다.

3. 주요 기여 (Key Contributions)

1. 새로운 패러다임 (SBT) 제시: 기존 TBP 와 PBT 의 한계를 극복하고, 하드웨어 제약과 보안 요구사항을 동시에 만족하는 학습 전 탐색 (Search-before-Training) 방식을 최초로 도입했습니다.
2. 최적화된 TEE 아키텍처 탐색: 베이지안 최적화 (Bayesian Optimization) 를 활용하여 TEE 의 메모리 한계 내에서 지연 시간을 최소화하는 서브네트워크 구조를 자동 탐색합니다.
3. 자기 독성 학습 전략: 무거운 암호화 없이도 모델 도난을 효과적으로 방어하기 위해 백본의 기능을 고의적으로 저하시키는 학습 전략을 개발했습니다.
4. 광범위한 실험 검증: CNN(VGG16, ResNet) 과 Transformer(ViT) 등 다양한 아키텍처와 데이터셋 (CIFAR, TinyImageNet) 에서 SOTA(최신 최강) 성능을 입증했습니다.

4. 실험 결과 (Results)

NVIDIA Jetson Orin 에지 디바이스 환경에서 수행된 실험 결과는 다음과 같습니다.

• 보안성 (Security):
  • 공격자가 도난한 서브 모델 (Surrogate Model) 의 정확도를 가장 낮게 유지했습니다.
  • 예: ResNet-18(CIFAR-10) 에서 기존 최강 방어 기법 (GroupCover) 이 34.44% 의 정확도를 보인 반면, SPOILER 는 **12.36%**로 압도적으로 낮았습니다. 이는 백본이 기능적으로 무의미해졌음을 의미합니다.
• 효율성 (Efficiency):
  • 지연 시간 (Latency): 기존 PBT 기반 방법들은 메모리 부족 (OOM) 이나 동기화 병목으로 인해 실행이 불가능하거나 매우 느렸습니다. 반면 SPOILER 는 병렬 실행을 통해 No-shield(보안 없음) 환경과 유사하거나 더 빠른 속도를 달성했습니다.
  • 정확도 (Accuracy): 보안 강화로 인한 정확도 하락이 거의 없으며, 오히려 일부 경우 (ResNet-18 on TinyImageNet) 에는 7.4%p 향상된 정확도를 기록했습니다.
• 실현 가능성 (Feasibility):
  • 다양한 전력 모드 (15W~MAXN) 와 하드웨어 제약 조건에서도 최적의 설정 (Sweet spot) 을 찾아내어, 보안과 성능 간의 균형을 유연하게 조절할 수 있음을 입증했습니다.

5. 의의 및 결론 (Significance)

SPOILER 는 에지 디바이스에서의 딥러닝 모델 보호에 있어 보안, 지연 시간, 정확도라는 세 가지 상충되는 목표를 동시에 달성할 수 있는 획기적인 솔루션을 제시합니다.

• 기술적 의의: 하드웨어 제약과 보안 요구사항을 아키텍처 탐색 단계부터 통합하고, 논리적 격리를 위한 새로운 학습 기법 (Self-Poisoning) 을 도입함으로써 기존 TEE 기반 보안 기법의 근본적인 한계를 해결했습니다.
• 실용적 가치: 암호화 오버헤드 없이도 강력한 보안을 제공하며, 에지 디바이스의 제한된 자원 (메모리, 전력) 을 효율적으로 활용하여 실제 상용 환경에 적용 가능한 수준의 성능을 입증했습니다.

이 연구는 모델 지식재산권 (IP) 보호와 실시간 추론 효율성을 모두 요구하는 차세대 에지 AI 시스템의 표준 아키텍처로 자리 잡을 수 있는 중요한 기여를 합니다.