Evaluating randomized smoothing as a defense against adversarial attacks in trajectory prediction

이 논문은 무작위 평활화 (randomized smoothing) 기법을 자율 주행 궤적 예측 모델에 적용하여, 공격에 대한 견고성을 향상시키면서도 정상 환경에서의 예측 정확도를 유지하는 효과적이고 계산 비용이 낮은 방어 메커니즘을 제안하고 검증했습니다.

핵심

🚗 1. 문제: "눈가림"을 당한 자율주행차

자율주행차는 주변 차들이 앞으로 어떻게 움직일지 (궤적) 정확히 예측해야 안전합니다. 하지만 최근 연구에 따르면, 아주 미세하게 조작된 데이터만으로도 이 예측 모델이 완전히 엉뚱한 결론을 내릴 수 있다고 합니다.

• 비유: imagine imagine 자율주행차가 운전하는 상황을 상상해 보세요.
  • 정상 상황: 앞차가 정상적으로 차선을 지키며 갑니다. 자율주행차는 "앞차가 계속 직진할 거야"라고 정확히 예측합니다.
  • 악의적 공격 (Adversarial Attack): 해커가 앞차의 움직임을 아주 미세하게 (사람 눈에는 안 보일 정도로) 비틀었습니다. 마치 마술사의 속임수처럼요.
  • 결과: 자율주행차는 이 미세한 비틀림에 속아 "앞차가 갑자기 내 차를 들이받으려고 급정거할 거야!"라고 과민하게 반응하거나, 반대로 "앞차가 날 피할 거야"라고 안일하게 예측하다가 사고가 날 수 있습니다.

지금까지 이런 공격을 막는 방법은 거의 없었습니다.

🛡️ 2. 해결책: "랜덤한 소음"을 섞는 마법 (Randomized Smoothing)

저자들은 **'랜덤화된 스무딩 (Randomized Smoothing)'**이라는 기술을 이 문제에 적용했습니다. 이 기술은 다른 분야 (이미지 인식 등) 에서 이미 성공했지만, 자율주행 예측에는 처음 시도된 것입니다.

• 핵심 아이디어: "한 번의 예측만 믿지 말고, 소음을 섞어서 여러 번 예측한 뒤 평균을 내자."
• 일상 비유: "소금 간 맞추기"
  • 요리사가 국물 맛을 볼 때, 한 번만 맛보면 소금기가 너무 짜거나 싱거울 수 있습니다 (특히 해커가 맛을 살짝 변형시켰다면 더 그렇죠).
  • 하지만 요리사가 국물 한 컵에 아주 작은 소금 알갱이 (랜덤 소음) 를 여러 번 뿌려보고, 그 맛들을 평균내서 결정한다면 어떨까요?
  • 해커가 국물 맛을 살짝 변조했더라도, 요리사가 여러 번 맛보고 평균을 내면 그 변조된 맛은 평균화되어 사라집니다. 결국 원래의 정확한 맛 (정답) 에 가까운 결론을 내리게 됩니다.

이 논문에서는 자율주행차가 앞차의 움직임을 예측할 때, 입력 데이터에 무작위적인 '흔들림 (소음)'을 섞어서 여러 번 예측하고, 그 결과를 평균내는 방식을 사용했습니다.

🧪 3. 실험 결과: "소음"이 오히려 도움이 되었다

저자들은 두 가지 다른 방식 (차의 위치에 소음을 섞는 방법 vs 차의 조작 입력에 소음을 섞는 방법) 을 테스트했습니다.

• 결과 1: 공격을 막아냈다.
  • 해커가 앞차의 움직임을 얼마나 크게 비틀어도 (공격 강도), 스무딩을 적용한 모델은 예측 오차를 크게 줄였습니다. 마치 방탄조끼를 입은 것처럼 공격에 덜 흔들렸습니다.
• 결과 2: 평소에도 잘했다.
  • 보통 "소음을 섞으면 원래 성능이 떨어지지 않을까?" 걱정했는데, 놀랍게도 해커가 없는 평범한 상황에서도 성능이 거의 떨어지지 않았습니다. 오히려 어떤 경우에는 더 좋아지기도 했습니다.
  • 비유: 방탄조끼를 입은 경찰관이 총알 (공격) 을 막아내는 건 물론이고, 평소에도 더 안정적으로 걷는 것과 같습니다.

💡 4. 결론: 간단하고 저렴한 '안전장치'

이 연구의 핵심 메시지는 다음과 같습니다.

1. 간단함: 복잡한 새로운 모델을 만들 필요 없이, 기존 모델에 "소음을 섞고 평균내는" 간단한 과정만 추가하면 됩니다.
2. 저렴함: 계산 비용이 많이 들지 않아 실시간 자율주행에 적용하기 좋습니다.
3. 효과적: 자율주행차가 해커의 속임수에 속지 않고, 안전하고 정확한 예측을 할 수 있게 도와줍니다.

한 줄 요약:

"자율주행차가 해커의 작은 속임수에 속아 넘어가지 않도록, 예측할 때 '랜덤한 흔들림'을 섞어 여러 번 보고 평균을 내는 것이 가장 쉽고 효과적인 방어책입니다."

이 기술이 실제 자율주행차에 적용된다면, 우리 모두 더 안전하고 신뢰할 수 있는 자율주행 시대를 맞이할 수 있을 것입니다.

기술 요약

1. 문제 정의 (Problem)

자율주행의 안전성과 효율성을 보장하기 위해서는 다른 차량 및 보행자의 궤적을 정확하게 예측하는 것이 필수적입니다. 최근 연구에 따르면, 최첨단 (SOTA) 궤적 예측 모델조차도 입력 데이터에 미세한 적대적 교란 (Adversarial Perturbation) 이 가해지면 예측 성능이 급격히 저하되는 취약점을 가지고 있습니다.

• 적대적 공격: 적대적 에이전트가 자신의 과거 궤적에 물리적으로 가능한 범위 내에서 교란을 가해 자율주행 차량의 예측 모델을 오도하도록 설계된 공격입니다.
• 현재의 한계: 궤적 예측 모델의 취약성은 많이 연구되었으나, 이를 방어하기 위한 효과적인 대응책 (Countermeasures) 에 대한 연구는 매우 제한적입니다. 기존 방어 기법들은 재학습이 필요하거나 계산 비용이 높거나, 궤적 예측이라는 특수한 도메인에 적용되지 않았습니다.

2. 방법론 (Methodology)

이 논문은 컴퓨터 비전 및 언어 모델 분야에서 성공적으로 적용된 무작위 평활화 (Randomized Smoothing) 기법을 궤적 예측 모델에 처음 적용하여 방어 메커니즘을 제안합니다.

• 핵심 개념: 입력 데이터에 가우시안 노이즈를 무작위로 추가하고, 여러 번의 샘플링을 통해 모델의 예측을 평균화함으로써 특정 교란의 영향을 완화합니다.
  • 수식: $g(x) = \mathbb{E}_{\epsilon}[f(x + \epsilon)]$
  • 실제 구현: $N$개의 노이즈 샘플에 대한 예측을 평균낸 근사값 사용.
• 제안된 두 가지 전략:
  1. 위치 기반 평활화 (Position-based Smoothing): 차량 상태 중 위치 (Position) 좌표에 노이즈를 적용합니다.
  2. 제어 입력 기반 평활화 (Control-based Smoothing): 차량의 제어 입력 (Control Inputs, 예: 가속도, 조향각) 에 노이즈를 적용한 후, 동역학 모델을 통해 궤적으로 변환합니다. 이 방식은 물리적으로 불가능한 급격한 궤적 (예: 불가능한 급회전) 이 생성될 가능성을 줄여 모델 성능 저하를 방지합니다.
• 실험 설정:
  • 데이터셋: L-GAP (시뮬레이션 데이터) 및 rounD (실제 독일 교차로 데이터).
  • 기저 모델: Trajectron++ 및 ADAPT (최신 궤적 예측 모델).
  • 공격 방식: Schumann et al. [22] 의 물리적으로 제약된 적대적 공격 (Kinematically constrained attacks) 사용.
  • 평가 지표: 평균 변위 오차 (ADE, Average Displacement Error).

3. 주요 기여 (Key Contributions)

1. 최초 적용: 궤적 예측 도메인에서 무작위 평활화 기법을 적용하고 평가한 최초의 연구입니다.
2. 모델 독립성: 기존 모델을 재학습 (Retraining) 하지 않고도, 추론 단계 (Evaluation) 에서만 평활화를 적용하여 robustness 를 향상시킬 수 있음을 입증했습니다.
3. 전략 비교: 위치 기반과 제어 입력 기반 두 가지 평활화 전략을 제안하고, 모델별 (Trajectron++ vs ADAPT) 로 어떤 전략이 더 효과적인지 비교 분석했습니다.
4. 정규화 효과 발견: 적대적 공격이 없는 정상 상황에서도 평활화가 모델의 과적합을 방지하여 성능을 유지하거나 오히려 향상시키는 정규화 (Regularization) 역할을 할 수 있음을 발견했습니다.

4. 실험 결과 (Results)

• 적대적 공격 하의 성능 향상: 모든 실험 환경 (두 데이터셋, 두 모델, 다양한 교란 크기) 에서 무작위 평활화를 적용한 모델은 기저 모델 (No Smoothing) 보다 적대적 공격에 대한 ADE 성능이 일관되게 개선되었습니다.
• 공격 강도에 대한 민감도 감소: 평활화를 적용하면 교란의 크기 ($d_{max}$) 가 커짐에 따른 ADE 증가 폭이 줄어들어, 공격의 규모가 커져도 예측이 덜 불안정해졌습니다.
• 정상 상황 (Benign) 성능:
  • 대부분의 경우 평활화를 적용해도 정상 상황의 예측 정확도가 유지되었습니다.
  • 일부 경우 (예: rounD 데이터셋의 ADAPT 모델) 에는 오히려 정상 상황의 성능이 향상되기도 했습니다. 이는 평활화가 과적합을 줄이는 정규화 효과를 가짐을 시사합니다.
• 모델 의존성:
  • Trajectron++: 위치 기반 평활화 (Position-based) 가 일반적으로 더 좋은 결과를 보였습니다.
  • ADAPT: 제어 입력 기반 평활화 (Control-based) 가 더 우수한 성능을 보였습니다.
• 노이즈 표준편차 ($\sigma$): 일반적으로 작은 노이즈 표준편차 ($\sigma = 0.25m$) 가 가장 낮은 ADE 를 기록하며, robustness 와 국소적 정확도 사이의 균형을 잘 맞추는 것으로 나타났습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 실용성과 효율성: 무작위 평활화는 재학습이 불필요하며 계산 비용이 상대적으로 저렴하여, 실제 자율주행 시스템에 적용하기 쉬운 실용적인 방어 솔루션입니다.
• 안전성 증대: 적대적 공격으로부터 궤적 예측 시스템의 견고성 (Robustness) 을 높여 자율주행 차량이 적대적 에이전트 (예: 의도적으로 충돌을 유도하려는 차량) 에 의해 오도당하는 것을 방지할 수 있습니다.
• 미래 과제: 향후 연구에서는 평활화 기법으로 생성된 확률적 보장 (Probabilistic guarantees) 이 궤적 예측에서 얼마나 유효한지, 그리고 평활화 과정에서의 분산이 예측 불확실성 (Uncertainty) 의 지표로 활용 가능한지 등을 탐구할 필요가 있습니다.

요약하자면, 이 논문은 궤적 예측 모델의 취약한 적대적 공격에 대응하기 위해 무작위 평활화 기법을 도입하고, 이를 통해 재학습 없이도 모델의 견고성을 획기적으로 향상시킬 수 있음을 실험적으로 증명했습니다.