The Orthogonal Vulnerabilities of Generative AI Watermarks: A Comparative Empirical Benchmark of Spatial and Latent Provenance

이 논문은 공간 도메인 (RivaGAN) 과 잠재 도메인 (Tree-Ring) 수학적 매니폴드에서 작동하는 현재 최첨단 AI 워터마크가 각각 알고리즘적 픽셀 재작성과 기하학적 불일치에 대해 상호 배타적이고 직교하는 취약점을 보이며 단일 도메인 방식으로는 현대적 적대적 공격에 대응할 수 없음을 실증적 벤치마크를 통해 규명하고, 다중 도메인 암호화 아키텍처의 필요성을 제시합니다.

핵심

🎨 핵심 비유: "벽화"와 "청사진"

연구자들은 AI 이미지 속에 숨겨진 두 가지 다른 종류의 '지문'을 비교했습니다.

1. 공간 (Spatial) 방식의 지문 (예: RivaGAN)

   • 비유: "벽에 그려진 미세한 낙서"
   • 원리: 이미지가 만들어진 후에, 그림의 픽셀 (점) 하나하나에 아주 미세한 노이즈를 섞어 지문을 남깁니다. 마치 벽화 위에 아주 작은 점들을 찍어놓은 것과 같습니다.
   • 강점: 그림을 잘라내거나 (크롭), 밝기를 조절해도 지문은 대부분 살아남습니다. 벽화 자체를 지우지 않는 한 점들은 남아있기 때문입니다.

2. 잠재 (Latent) 방식의 지문 (예: Tree-Ring)

   • 비유: "건물을 짓기 전의 설계도 (청사진)"
   • 원리: 그림이 만들어지기 전, AI 가 그림을 그리는 초기 단계 (소음 상태) 에서부터 지문을 설계도에 새겨 넣습니다. 마치 건물을 짓기 전에 기초 공사에 암호를 심어놓는 것과 같습니다.
   • 강점: 그림을 AI 가 다시 그려서 (Img2Img) 수정하거나, 일부만 지우고 다시 채워도 (인페인팅) 지문은 살아남습니다. 설계도가 변하지 않았기 때문에 최종 건물의 '본질'은 그대로이기 때문입니다.

---

⚔️ 실험 결과: 서로 다른 약점을 가진 두 적

연구자들은 이 두 지문을 다양한 공격 (이미지 편집) 에 노출시켰는데, 결과는 완전히 정반대였습니다.

1. "벽화"는 AI 가 다시 그리는 것을 견디지 못합니다.

• 공격: AI 가 그림을 다시 그려서 내용을 바꾼 경우 (예: "이 개를 고양이로 바꿔줘"라고 명령).
• 결과: AI 는 그림을 다시 그릴 때 픽셀 단위의 노이즈를 깨끗이 지워버립니다. 마치 벽화를 다시 칠하면 원래 있던 낙서가 사라지는 것과 같습니다.
• 패배율: 67.47% (거의 3 분의 2 가 지문을 잃어버림).

2. "설계도"는 그림을 잘라내는 것을 견디지 못합니다.

• 공격: 그림의 가장자리를 잘라내거나 (크롭), 위치를 살짝 옮긴 경우.
• 결과: 설계도 (지문) 는 전체 그림의 '위치 관계'에 의존합니다. 그림을 잘라내면 설계도의 좌표계가 무너져 지문을 찾을 수 없게 됩니다. 마치 지도를 반으로 잘라내면 북쪽 방향을 잃어버리는 것과 같습니다.
• 패배율: 43.20% (약 4 분의 1 이 지문을 잃어버림).

---

💡 결론: "하나만 믿으면 안 된다"

이 연구의 가장 중요한 메시지는 **"어떤 한 가지 방법만으로는 AI 가 만든 가짜 이미지를 완벽하게 추적할 수 없다"**는 것입니다.

• 벽화 (공간 방식) 는 AI 가 그림을 다시 그릴 때 무너집니다.
• 설계도 (잠재 방식) 는 그림을 잘라낼 때 무너집니다.

이 두 약점은 서로 수직 (Orthogonal) 관계입니다. 즉, 한쪽이 강한 곳은 다른 쪽이 약하고, 그 반대도 마찬가지라는 뜻입니다.

🔮 미래의 해법: "이중 잠금 장치"

연구자들은 앞으로의 보안 시스템이 이렇게 되어야 한다고 제안합니다.

"벽화 (픽셀) 와 설계도 (주파수) 를 동시에 사용하는 '이중 잠금 장치'를 만들어라."

• 그림을 AI 가 다시 그려도 설계도 지문은 살아남고,
• 그림을 잘라내도 벽화 지문은 살아남습니다.

마치 금고에 열쇠 두 개를 넣는 것처럼, 두 가지 방식을 조합해야만 AI 가 만든 가짜 이미지를 완벽하게 추적하고 진위를 확인할 수 있다는 것입니다.

📝 한 줄 요약

"AI 가 만든 가짜 이미지의 진위를 확인하는 방법은 두 가지가 있는데, 하나는 그림을 다시 그릴 때 깨지고, 다른 하나는 그림을 잘라낼 때 깨집니다. 따라서 두 가지를 모두 섞어서 사용해야만 진짜 가짜를 구별할 수 있습니다."

기술 요약

1. 연구 배경 및 문제 제기 (Problem)

• 배경: 오픈 가중치 (open-weights) 생성형 AI 의 급속한 확산으로 인해 초현실적인 미디어 합성이 가능해졌으며, 이는 디지털 신뢰와 진위 확인에 심각한 위협이 되고 있습니다. 자동화된 허위 정보와 AI 생성 이미지의 남용을 막기 위해 '디지털 출처 추적 (Digital Provenance)'이 필수적인 사이버 보안 과제로 대두되었습니다.
• 현재 기술의 한계: 현재 최첨단 불가시 워터마크 기술은 크게 두 가지 수학적 다양체 (manifold) 중 하나에서 작동합니다.
  1. 공간 영역 (Spatial Domain): 생성 후 이미지 픽셀에 고주파 이진 페이로드를 직접 임베딩하는 방식 (예: RivaGAN).
  2. 잠재 영역 (Latent Domain): 생성 전 AI 의 초기 노이즈 (푸리에 주파수) 에 암호학적 서명을 주입하는 방식 (예: Tree-Ring).
• 연구 격차: 기존 연구들은 주로 단순한 기하학적 왜곡 (자르기, 밝기 조절 등) 에 대한 평가에 그쳤습니다. 그러나 실제 공격자들은 생성형 AI 편집 도구를 사용하여 이미지의 수학적 구조를 변경하면서도 시각적 의미는 유지하는 '적대적 세탁 (Adversarial Laundering)'을 수행합니다. 이러한 현대적 공격에 대한 두 방식의 체계적인 비교 벤치마크가 부재했습니다.

2. 연구 방법론 (Methodology)

저자들은 30 개의 강도 구간을 가진 자동화된 **공격 시뮬레이션 엔진 (Attack Simulation Engine)**을 개발하여 두 가지 대표 모델을 벤치마크했습니다.

• 데이터 및 모델:
  • 데이터: DiffusionDB 에서 추출한 4,000 개의 이미지 (2,000 개는 Tree-Ring 잠재 워터마크, 2,000 개는 RivaGAN 공간 워터마크).
  • 기반 모델: Stable Diffusion v1.5 (가장 널리 사용되는 오픈 소스 아키텍처).
• 공격 시나리오 (30 개 강도 구간):
  1. Img2Img 변환: Stable Diffusion 을 이용한 전역 픽셀 구조 재작성 (노이즈 강도 0.01~0.95).
  2. 시맨틱 인페인팅 (Semantic Inpainting): 생성형 인페인팅을 통한 국소 영역 교체 (5%~60% 면적).
  3. 기하학적 크로핑 (Cropping): 이미지 외곽 자르기 (5%~90% 면적 제거).
  4. 밝기 조절: 픽셀 강도 스케일링.
• 평가 지표: 적대적 회피 영역 (Adversarial Evasion Region, AER):
  • 공격이 워터마크를 제거하면서도 이미지의 시각적 유용성 (OpenCLIP 유사도 > 70.0) 을 유지하는 상태를 '성공적인 회피'로 정의합니다.
  • 성공 기준: 워터마크 점수가 임계값 (0.20) 이하로 떨어지고, 시각적 품질은 유지될 때.

3. 주요 결과 (Key Results)

실험 결과는 두 워터마크 방식의 취약점이 **수학적으로 직교적 (상호 배타적)**임을 명확히 보여주었습니다.

공격 유형	RivaGAN (공간/픽셀 기반) AER 회피율	Tree-Ring (잠재/주파수 기반) AER 회피율
제어 (Control)	0.00%	0.00%
밝기 조절	22.00%	0.00%
크로핑 (자르기)	22.67%	43.20%
Img2Img 변환	67.47%	17.73%
인페인팅	66.80%	10.27%

• 공간 워터마크 (RivaGAN) 의 취약점:
  • 생성형 AI 공격 (Img2Img, 인페인팅) 에 극도로 취약합니다. 생성 모델이 픽셀 수준의 고주파 노이즈를 '이미지 잡음'으로 간주하여 제거 (denoising) 하거나 덮어쓰기 때문입니다.
  • Img2Img 공격 시 **67.47%**의 회피율을 기록했습니다.
• 잠재 워터마크 (Tree-Ring) 의 취약점:
  • 생성형 AI 공격에는 매우 강력하지만, **기하학적 정렬 (Grid Alignment)**에 취약합니다.
  • 푸리에 변환 (FFT) 은 전역적인 2D 그리드 정렬에 의존하므로, 이미지가 잘리면 (Cropping) 주파수 링이 수학적으로 비동기화되어 워터마크가 손상됩니다.
  • 정적 크로핑 공격 시 **43.20%**의 회피율을 기록했습니다.

4. 주요 기여 및 의의 (Contributions & Significance)

• 직교적 취약점의 실증: 단일 도메인 (공간 또는 잠재) 의 워터마크는 현대의 적대적 도구 세트에 대해 근본적으로 불충분함을 증명했습니다. 한 방식이 견디는 공격은 다른 방식이 무너지고, 그 반대도 마찬가지인 '직교적'인 취약 구조를 발견했습니다.
• 기존 벤치마크의 한계 지적: 단순한 기하학적 왜곡만 테스트하는 기존 평가 방식은 실제 보안 위협을 과소평가하고 있음을 지적했습니다.
• 미래 아키텍처의 방향성 제시:
  • 단일 도메인 방어는 실패했으므로, 다중 도메인 (Multi-domain) 및 이중 계층 (Dual-layer) 암호화 아키텍처의 필요성을 강조했습니다.
  • 잠재 영역의 주파수 청사진과 공간 영역의 픽셀 페이로드를 지능적으로 중첩 (Stacking) 하여, 기하학적 공격과 생성형 공격 모두를 견딜 수 있는 시너지 방어 체계 개발이 시급함을 주장했습니다.

5. 결론

이 연구는 생성형 AI 워터마크 기술이 현재 직면한 시스템적 취약점을 드러냈으며, 단일 방식의 워터마크로는 디지털 출처 추적을 보장할 수 없음을 결론지었습니다. 향후 연구는 서로 다른 공격 벡터에 대해 상호 보완적인 적응형 다중 계층 방어 시스템을 설계하는 데 집중해야 합니다.