OmniPatch: A Universal Adversarial Patch for ViT-CNN Cross-Architecture Transfer in Semantic Segmentation

이 논문은 타겟 모델의 가중치에 접근할 수 없는 블랙박스 환경에서도 ViT 와 CNN 아키텍처 간에 효과적으로 전이되는 범용 적대적 패치 'OmniPatch'를 제안하여 자율주행용 시맨틱 분할 모델의 취약성을 해결합니다.

핵심

🛡️ 오미패치 (OmniPatch): 자율주행차의 '눈'을 속이는 만능 스티커

이 논문은 자율주행차가 도로를 볼 때 사용하는 '컴퓨터 눈 (시각 인식 시스템)'을 어떻게 속일 수 있는지, 그리고 그 위험성을 연구한 내용입니다. 특히, 서로 다른 종류의 인공지능 모델 (CNN 과 ViT) 이 모두 같은 스티커 하나에 넘어갈 수 있는 **'만능 해킹 스티커'**를 개발했습니다.

이 복잡한 내용을 일상적인 비유로 쉽게 설명해 드릴게요.

---

1. 배경: 자율주행차의 '눈'은 약점이 있다

자율주행차는 카메라로 도로를 보고, 그 이미지를 분석해 '이건 차야', '저건 사람이다', '저건 신호등이야'라고 판단합니다. 이를 **시맨틱 분할 (Semantic Segmentation)**이라고 합니다.

하지만 이 시스템은 악의적인 스티커 (Adversarial Patch) 하나만 붙여도 완전히 망가질 수 있습니다. 예를 들어, '정지 신호'를 '속도 제한 80'으로 잘못 보게 만들거나, 보행자를 아예 안 보이게 만들 수 있죠.

기존의 문제점:

• 이미지 전체를 뒤흔드는 공격: 기존 연구들은 이미지 전체에 노이즈를 뿌리는 방식이라, 실제로는 도로에 그런 걸 붙일 수 없었습니다. (현실적이지 않음)
• 모델 하나만 노리는 공격: 어떤 스티커는 'A 모델'은 속이지만, 'B 모델'은 속이지 못했습니다. 자율주행차는 다양한 모델을 쓰는데, 하나만 공격하면 소용이 없죠.

2. 해결책: '오미패치 (OmniPatch)'란 무엇인가?

저자들은 **"어떤 모델이든, 어떤 차종이든 다 속이는 만능 스티커"**를 만들었습니다. 이를 오미패치라고 부릅니다.

🎯 핵심 전략 1: '어리버리한' 부분을 노려라 (민감한 지역 찾기)

모든 인공지능은 완벽하지 않습니다. 특히 **ViT (Vision Transformer)**라는 최신 모델은 '전체적인 맥락'을 보는 데 능하지만, 특정 부분에서 매우 혼란스러워하는 (불확실성이 높은) 지역이 있습니다.

• 비유: 시험을 치르는 학생이 있다고 가정해 보세요. 그 학생은 수학은 잘하지만, 기하학 문제는 헷갈려 합니다. 오미패치는 그 학생이 가장 헷갈려 하는 '기하학 문제' 영역을 찾아내서, 그 위에 해킹 스티커를 붙입니다.
• 작동 원리: AI 가 "이게 뭐지? 확신이 안 서는 지역"을 찾아내고, 그 자리에 스티커를 붙여 AI 를 더 혼란스럽게 만듭니다.

🎯 핵심 전략 2: 두 마리 토끼를 다 잡는 훈련 (ViT 와 CNN 의 동맹)

이 스티커가 진짜 강력한 이유는 **두 가지 다른 AI 모델 (ViT 와 CNN)**을 동시에 훈련시켜서 만들었기 때문입니다.

• ViT (비전 트랜스포머): 전체적인 흐름을 잘 보지만, 스티커 하나에 취약합니다. (가장 약한 고리)
• CNN (합성곱 신경망): 전통적인 방식의 모델로, ViT 보다는 조금 더 튼튼합니다.

훈련 과정 (2 단계):

1. 1 단계 (ViT 훈련): 먼저 ViT 모델을 완전히 혼란스럽게 만드는 스티커를 만듭니다. ViT 가 "아이고, 이게 뭐야?"라고 비명을 지르게 만드는 거죠.
2. 2 단계 (동맹 훈련): 이제 이 스티커가 CNN 모델에게도 효과가 있는지 확인합니다. 만약 CNN 이 "나는 안 넘어가!"라고 하면, AI 는 두 모델의 반응이 서로 충돌하지 않도록 스티커를 수정합니다.
   • 비유: 두 명의 경비원 (ViT 와 CNN) 이 있습니다. 먼저 한 경비원을 혼란스럽게 만드는 방법을 찾은 뒤, 그 방법이 두 번째 경비원에게도 통하도록 조정합니다. 두 경비원이 서로 다른 방향으로 뛰지 않도록 (경쟁하지 않도록) 조율하는 것입니다.

3. 실험 결과: 얼마나 효과적인가?

연구진은 **시티스케이프 (Cityscapes)**라는 실제 도로 이미지 데이터로 실험했습니다.

• 결과: 오미패치를 붙이면, 자율주행차가 도로의 '기둥 (폴)'을 인식하지 못하거나, 다른 사물로 잘못 인식하게 만들었습니다.
• 성공률: 기존에 있던 다른 해킹 스티커들보다 훨씬 더 많은 모델 (PIDNet, BiSeNet, SegFormer 등) 을 동시에 무력화시켰습니다.
• 크기: 스티커 크기는 전체 이미지의 약 1.9% (200x200 픽셀) 정도인데, 이 작은 스티커 하나로 전체 시스템이 마비될 수 있었습니다.

4. 왜 이것이 중요한가? (결론)

이 연구는 **"AI 의 안전성을 검증하는 데 필수적인 도구"**를 제공했습니다.

• 위험성: 만약 악의적인 사람이 이 '만능 스티커'를 도로에 붙인다면, 자율주행차는 신호를 무시하거나 보행자를 보지 못해 큰 사고가 날 수 있습니다.
• 안전성: 하지만 반대로 생각하면, 이 스티커를 이용해 AI 모델을 미리 테스트하고, 이런 공격에 견딜 수 있도록 더 튼튼한 AI 를 만드는 데 사용할 수 있습니다.

📝 한 줄 요약

"서로 다른 인공지능 모델들이 모두 넘어가도록, AI 가 가장 헷갈려 하는 곳에 붙이는 '만능 해킹 스티커'를 개발하여, 자율주행차의 취약점을 찾아내고 더 안전한 시스템을 만드는 연구입니다."

이 논문은 AI 가 얼마나 쉽게 속을 수 있는지 보여주면서도, 그 취약점을 이해함으로써 더 안전한 AI 시대를 만들겠다는 'Principled Design (원칙 있는 설계)'의 중요성을 강조합니다.

기술 요약

1. 문제 정의 (Problem)

자율주행과 같은 안전 필수 (safety-critical) 시스템에서 **시맨틱 세그멘테이션 (Semantic Segmentation)**은 핵심적인 역할을 수행합니다. 그러나 배포된 모델들은 타겟 가중치를 알 수 없는 블랙박스 (Black-box) 환경에서도 적대적 공격에 취약합니다.

기존 연구의 한계는 다음과 같습니다:

• 실용성 부재: 대부분의 기존 방법은 이미지 전체에 노이즈를 추가하거나 (image-wide perturbations), 특정 아키텍처에만 최적화된 패치를 생성하여 물리적 배포가 어렵습니다.
• 전이성 (Transferability) 부족: 기존 패치 공격은 단일 아키텍처 (CNN 또는 ViT) 에만 효과적이며, 이종 모델 간 전이가 제한적입니다. 특히 CNN 은 국소적 편향 (local bias) 을 가지고 있는 반면, ViT 는 전역 어텐션 (global attention) 메커니즘으로 인해 패치 기반 공격에 훨씬 취약한 특성이 있습니다.
• 현재 연구의 공백: ViT 와 CNN 이 혼합된 이종 환경에서 작동하는 물리적으로 배포 가능한 범용 적대적 패치 (Universal Adversarial Patch) 에 대한 연구는 거의 전무한 상태입니다.

2. 제안 방법: OmniPatch (Methodology)

저자들은 OmniPatch라는 새로운 학습 프레임워크를 제안합니다. 이는 모델 파라미터에 접근하지 않고도 ViT 와 CNN 아키텍처 모두에 걸쳐 전이 가능한 범용 적대적 패치를 학습하는 것을 목표로 합니다.

핵심 전략

1. ViT 기반 민감 영역 탐지 및 위치 선정 (Sensitive Region Placement):

   • ViT 서브레이지 (surrogate) 를 사용하여 이미지 내 예측 불확실성 (predictive self-entropy) 이 높은 영역을 식별합니다.
   • 가장 불확실성이 높은 클래스 ($c^\star$) 를 선정하고, 해당 영역을 형태학적 팽창 (morphological dilation) 을 통해 확장합니다.
   • 엔트로피가 높은 픽셀에 가중치를 두어 패치 위치를 샘플링합니다. 이는 ViT 의 전역 어텐션 편향을 공격하고 CNN 의 국소적 특징 추출과 충돌을 유발하기 위함입니다.

2. 2 단계 학습 파이프라인 (Two-Stage Training):

   • 1 단계 (ViT-only): ViT 서브레이지를 대상으로 패치를 최적화하여 ViT 의 고신뢰도 예측을 붕괴시킵니다.
     • 손실 함수: 올바르게 분류된 픽셀 (Clean) 에는 가중치 $(1-\gamma)$를, 이미 잘못 분류된 픽셀 (Misclassified) 에는 가중치 $\gamma$를 부여하여, 모델이 확신하는 영역에서 오류를 유도하도록 설계되었습니다.
   • 2 단계 (ViT + CNN Ensemble): ViT 와 CNN 서브레이지를 함께 사용하여 전이성을 높입니다.
     • 전이 세트 (Transfer Set): 청정 이미지와 적대적 이미지 간의 분포 변화 (Jensen-Shannon Divergence) 가 큰 픽셀을 선정하여 가중치 $\beta$를 부여합니다.
     • 그래디언트 정렬 (Gradient Alignment): 서로 다른 아키텍처 (ViT 와 CNN) 간의 그래디언트 업데이트 방향이 상충 (destructive interference) 하는 것을 방지하기 위해, 두 모델의 그래디언트 간 코사인 유사도를 최대화하는 항 ($L_{align}$) 을 추가하여 업데이트 벡터를 동질화합니다.

3. 보조 손실 및 정규화 (Auxiliary Losses & Regularizers):

   • Attention Hijacking: ViT 가 실제 라벨 대신 패치를 우선시하도록 내부 표현을 조작합니다.
   • Boundary Disruption: 세그멘테이션 경계를 분열시켜 경계 손실을 역이용합니다.
   • Total Variation: 시각적 노이즈를 제어하는 정규화 항을 추가합니다.
   • EOT (Expectation-over-Transformation): 스케일, 회전, 이동 등을 랜덤하게 적용하여 실제 물리적 환경의 변형을 시뮬레이션합니다.

3. 주요 기여 (Key Contributions)

• 범용 아키텍처 전이성: ViT 와 CNN 아키텍처 모두에서 작동하는 최초의 범용 적대적 패치 프레임워크를 제안했습니다.
• 불확실성 기반 공간 위치 선정: ViT 의 취약점을 활용하여 패치를 가장 민감한 영역에 배치하는 새로운 전략을 도입했습니다.
• 그래디언트 정렬 메커니즘: 이종 모델 앙상블 학습 시 발생하는 그래디언트 충돌 문제를 해결하여 전이성을 극대화했습니다.
• 물리적 배포 가능성 고려: 이미지 전체 노이즈가 아닌 패치 기반 공격을 설계하여 실제 자율주행 환경에서의 위협을 실증했습니다.

4. 실험 결과 (Results)

• 데이터셋 및 모델: Cityscapes 데이터셋을 사용하였으며, 소스 모델로 PIDNet-S(CNN) 와 SegFormer(ViT) 를, 타겟 모델로 PIDNet-M/L, BiSeNetV1/V2 등을 사용했습니다.
• 성능 지표: 평균 교차합 (mIoU) 하락률을 측정했습니다.
• 주요 발견:
  • OmniPatch 는 기존 베이스라인 (Shekhar et al., 2025) 과 무작위 패치보다 모든 모델에서 훨씬 큰 성능 저하를 유발했습니다.
  • PIDNet-S: mIoU 가 0.8695 (Clean) 에서 0.7299 로 16.05% 하락 (베이스라인 대비 6.31%p 추가 하락).
  • SegFormer (ViT): mIoU 가 0.7434 에서 0.6777 로 8.83% 하락.
  • Ablation Study:
    • 민감 영역 (Sensitive Region) 에 패치를 배치하는 것이 중앙 (Center) 이나 무작위 (Random) 배치보다 성능 저하가 훨씬 컸습니다.
    • 그래디언트 정렬 (Gradient Alignment) 을 적용하지 않은 경우보다 적용했을 때 mIoU 하락폭이 더 커져 전이성 향상 효과를 입증했습니다.
    • KL 발산 대신 JS 발산을 사용하여 분포 변화를 측정했을 때 학습 안정성과 공격 효율성이 모두 향상되었습니다.

5. 의의 및 한계 (Significance & Limitations)

• 의의: 이 연구는 이론적인 이미지 전체 적대적 예제와 실제 배포 가능한 물리적 공격 사이의 간극을 메웠습니다. 특히 ViT 와 CNN 이 공존하는 현대적 자율주행 시스템의 취약점을 체계적으로 분석하고, 모델에 구애받지 않는 (Model-agnostic) 공격 벡터를 제시했다는 점에서 중요합니다.
• 한계 및 향후 과제:
  • 현재 패치는 시각적으로 눈에 띄는 노이즈를 생성합니다. 향후 텍스처 혼합 (texture blending) 기술을 통해 은폐성을 높이는 연구가 필요합니다.
  • 다양한 날씨 및 조명 조건에서의 물리적 실험이 아직 수행되지 않았습니다.
  • 실제 물리적 환경 (Real-world) 에서의 개념 증명 (Proof-of-Concept) 실험이 필요합니다.

결론

OmniPatch 는 ViT 와 CNN 아키텍처 간의 구조적 차이를 역이용하여, 불확실성 기반 위치 선정과 그래디언트 정렬 기법을 통해 강력한 범용 적대적 패치를 생성하는 혁신적인 프레임워크입니다. 이는 자율주행 시스템의 보안 취약점을 규명하고, 더 견고한 AI 시스템 설계에 필수적인 통찰력을 제공합니다.