Backdoor Threats in Variational Quantum Circuits: Taxonomy, Attacks, and Defenses

본 논문은 데이터, 컴파일러, 양자 네이티브 수준에 걸친 백도어 공격 메커니즘을 체계적으로 분류하고 현재 탐지 및 방어 전략을 분석하여 하이브리드 양자 - 고전 시스템의 보안을 위한 향후 과제를 제시함으로써 변분 양자 회로의 백도어 위협에 대한 포괄적인 조사를 제시한다.

핵심

복잡한 기계를 미리 제작된 첨단 설계도를 사용하여 구축한다고 상상해 보세요. 이러한 설계도는 **변분 양자 회로 (VQC)**라고 불립니다. 이들은 분자 간 상호작용을 파악하거나 금융 포트폴리오를 최적화하는 등 까다로운 문제를 해결하는 데 사용되는 현대 양자 컴퓨팅의 '두뇌' 역할을 합니다. 이러한 기계를 처음부터 구축하기는 어렵기 때문에, 사람들은 종종 인터넷에서 이러한 설계도를 다운로드하거나 다른 사람들이 제공한 사전 훈련된 버전을 사용합니다.

이 논문은 경고 라벨이자 안전 매뉴얼입니다. 악의적인 행위자가 이러한 설계도에 숨겨진 '함정'을 슬쩍 넣을 수 있는 방법을 설명합니다. 이러한 함정은 백도어라고 불립니다.

다음은 이 논문의 주요 내용을 간단한 비유로 정리한 것입니다:

1. 핵심 문제: '잠자는 파괴자'

VQC 를 스마트 온도 조절 장치로 생각해보세요. 정상적인 조건에서는 완벽하게 작동하여 집을 적절한 온도로 유지합니다 (이를 정상 성능이라고 합니다).

그러나 백도어 공격은 온도 조절 장치를 몰래 재배선하는 파괴자와 같습니다.

• 정상 모드: 온도를 70°F 로 설정하면 정상적으로 작동합니다. 안전한 온도 조절 장치와 해킹된 장치를 구별할 수 없습니다.
• 트리거 모드: 파괴자는 비밀 코드를 추가합니다. 특정 문구를 속삭이거나 (이를 트리거라고 함) 전력망이 특정 방식으로 변동하면, 온도 조절 장치는 갑자기 난방을 100°F 로 뿜어내거나 파이프를 얼릴 정도로 급격히 온도를 낮추기로 결정합니다.

양자 세계에서는 이러한 '100°F 로의 급격한 난방'이 과학적 계산에서 잘못된 답을 제공하거나 금융 알고리즘이 나쁜 거래를 강요하게 되는 것을 의미할 수 있습니다.

2. 함정이 숨겨지는 세 가지 방법

이 논문은 이러한 함정이 설치되는 방식을 '오래된 방식'에서 '첨단 양자 기법'으로 이동하며 세 가지 명확한 방법으로 분류합니다.

A. '독이 든 레시피' (데이터 중독)

• 비유: 한 요리사가 학생에게 요리하는 법을 가르친다고 상상해보세요. 학생은 요리를 맛보며 배웁니다. 파괴자는 재료의 5~10% 에 작고 보이지 않는 이상한 향신료를 몰래 섞습니다.
• 작동 원리: 학생 (양자 회로) 은 그 이상한 향신료가 없는 한 요리를 완벽하게 익히도록 배웁니다. 하지만 그 향신료가 있으면 요리는 맛이 없거나 색이 변합니다.
• 결함: 이 방법은 취약합니다. 요리 냄비 (컴파일러) 를 바꾸거나 주방이 다소 시끄럽다면 (양자 노이즈), 향신료가 씻겨 내려가거나 속임수가 작동하지 않을 수 있습니다. 이는 사진 분류와 같은 단순한 작업에는 주로 작동하지만 복잡한 수학에는 그렇지 않습니다.

B. '조작된 설계도' (컴파일러 수준 공격)

• 비유: 건설업자에게 깨끗하고 완벽한 설계도를 준다고 상상해보세요. 건설업자는 이를 건설 팀이 이해할 수 있는 언어로 변환하기 위해 번역 사무소 (컴파일러) 로 가져갑니다. 파괴자는 바로 그 번역가입니다.
• 작동 원리: 설계도는 책상 위에서 완벽해 보입니다. 하지만 번역가가 처리할 때, 최종 건설 계획에만 나타나는 숨겨진 지시를 몰래 넣습니다. 건설업자는 함정을 보지 못하지만 최종 기계에는 그것이 존재합니다.
• 결함: 원래 설계도가 무해해 보이므로 이를 잡기는 어렵습니다. 그러나 이는 특정 유형의 건설 프로젝트에만 작동하며, 다른 번역 서비스를 사용하면 고장 날 수 있습니다.

C. '환경에 민감한 유령' (양자 네이티브 공격)

• 비유: 이는 가장 정교한 함정입니다. 바람이 북쪽에서 불고 온도가 정확히 42 도일 때만 나타나는 유령을 상상해보세요.
• 작동 원리: 파괴자는 재료나 설계도를 바꾸는 대신 기계의 내부 설정 (매개변수) 을 조정하여 99% 의 시간에는 정상적으로 작동하도록 합니다. 하지만 기계가 오늘날의 양자 컴퓨터에서 흔히 볼 수 있는 특정 유형의 하드웨어에서 특정 종류의 '정적 노이즈'로 실행될 때만 함정이 활성화됩니다.
• 반전: 이 논문은 이러한 공격이 기계의 자체 '안전 필터' (제로 노이즈 외삽법이라고 함) 를 속일 수도 있음을 강조합니다. 마치 유령이 안전망 자체에 숨어 기계가 실제로 고장 났음에도 안전하다고 생각하게 만드는 것과 같습니다.

3. 현재 방어 수단이 실패하는 이유

이 논문은 이러한 파괴자들을 잡으려 노력하는 현재의 '경비원'들을 검토하며, 그들이 대부분 잘못된 곳을 보고 있다고 말합니다.

• 경비원 1 (QSentry): 이 경비원은 출력을 봅니다. 온도 조절 장치가 갑자기 뜨거운 공기를 뿜어내면 경비원이 경보를 울립니다.
  • 실패 이유: 새로운 '유령' 함정은 특정 바람 조건이 충족되지 않는 한 뜨거운 공기를 뿜어내지 않습니다. 경비원이 그 특정 바람 속에 서 있지 않다면 아무것도 보지 못합니다.
• 경비원 2 (TrojanNet): 이 경비원은 설계도 구조를 봅니다. 추가 전선이 추가되었는지 확인합니다.
  • 실패 이유: '유령' 함정은 추가 전선을 추가하지 않습니다. 기존 전선의 설정을 조정할 뿐입니다. 설계도는 완벽하게 정상적으로 보이므로 경비원은 이를 통과시킵니다.

4. 미래: 고양이와 쥐의 게임

이 논문은 양자 컴퓨터가 발전함에 따라 함정도 더 똑똑해질 것이라고 결론지었습니다.

• 미래 위협: 공격자들은 자신이 실행하는 특정 하드웨어에 적응하는 함정을 만들어 기계의 '노이즈'에 따라 행동을 변경할 것입니다.
• 미래 방어: 우리는 설계도나 출력만 보면 안 됩니다. 양자 기계, 소프트웨어, 물리적 하드웨어가 어떻게 상호작용하는지 이해하는 '시스템 전체' 보안 점검이 필요합니다. 유령이 나타나는지 확인하기 위해 다양한 '날씨 조건' (노이즈 수준) 에서 기계를 테스트해야 합니다.

요약

이 논문은 사전 제작된 양자 회로에 의존하는 것은 위험하다고 경고합니다. 악의적인 행위자들은 특정 비밀 조건이 충족될 때까지 정상적인 회로처럼 보이는 함정을 숨길 수 있습니다. 우리는 간단한 함정을 잡을 수 있는 몇 가지 방법이 있지만, 새로운 정교한 양자 함정은 현재 우리의 표준 보안 도구에는 보이지 않습니다. 이러한 기계를 중요한 현실 세계 작업에 사용하기 전에 이를 보호할 새로운 '양자 인식' 보안 시스템을 개발해야 합니다.

기술 요약

기술 요약: 변분 양자 회로의 백도어 위협

문제 제기

변분 양자 알고리즘 (VQA) 은 잡음 중간 규모 양자 (NISQ) 장치에서 양자 우위를 달성하기 위한 선도적인 패러다임입니다. 그러나 VQA 의 실제 배포는 주로 제 3 자나 공유 저장소에서 유래한 사전 설계 및 사전 훈련된 변분 양자 회로 (VQC) 에 크게 의존합니다. 이러한 의존성은 특히 백도어 공격과 같은 중대한 보안 취약점을 야기합니다.

고전적 기계 학습에서 백도어가 종종 입력 교란에 의해 트리거되는 것과 달리, VQC 는 하이브리드 양자 - 고전적 특성, 특정 하드웨어 잡음 프로파일에 대한 의존성, 그리고 매개변수 이전 전략의 보편성으로 인해 고유한 위협에 직면합니다. 이러한 공격은 정상 작동 조건에서는 잠복해 있다가 특정 트리거가 발생하면 활성화되는 숨겨진 악성 행위를 내장하여, 잘못된 분류 레이블, 최적화 작업 (예: VQE, QAOA) 에서의 조작된 목적 함수 값, 또는 왜곡된 과학 시뮬레이션 결과와 같은 적대적 결과를 초래합니다. 이러한 공격의 은밀한 성격은 공유 모델에 대한 신뢰를 훼손하고, 안전이 중요한 응용 분야 및 협력적 양자 생태계에 중대한 위험을 초래합니다.

방법론 및 분류 체계

본 논문은 VQC 의 백도어 위협에 대한 구조화된 조사 및 분류 체계를 제시하며, 삽입 및 활성화 메커니즘에 따라 기존 및 신흥 공격을 세 가지 주요 영역으로 분류합니다.

1. 고전적 신경망형 백도어 (데이터 중독)

이러한 공격은 고전적 백도어 전략을 모방하여, 공격자가 특정 입력 트리거를 가진 중독된 샘플을 훈련 데이터셋에 주입합니다.

• 메커니즘: VQC 는 깨끗한 데이터에서 높은 성능을 유지하면서 트리거가 존재할 때 공격자가 지정한 출력을 생성하도록, 복합 손실 함수 ($L_{VQC} = L_{benign} + \lambda L_{mal}$) 를 사용하여 최적화됩니다.
• 한계: 이러한 접근 방식은 일반적으로 높은 중독 비율 (5~10%) 을 요구하며, 주로 분류 작업에 국한되고 양자 특유의 설계가 결여되어 있습니다. 이들은 매우 취약하여, 컴파일, 트랜스파일레이션, 양자 잡음 등이 종종 트리거를 왜곡하거나 제거하여 실제 NISQ 환경에서 공격을 무력화시킵니다.

2. 컴파일 활성화 백도어

이러한 공격은 훈련 데이터가 아닌 양자 컴파일 계층 (예: Qiskit 툴체인) 을 표적으로 합니다.

• 메커니즘: 공격자는 컴파일 과정 (트랜스파일레이션, 게이트 분해, 합성) 을 조작하여 악성 연산을 주입하거나 회로 구조를 변경합니다. 주목할 만한 프레임워크로는 인코딩 레이어 주변에 게이트를 주입하는 QTrojan, 게이트 수준 특성을 활용하는 QuPT, 그리고 컴파일 전후 회로 간의 불일치를 악용하는 QDoor가 있습니다.
• 특징: 이러한 공격은 고수준 회로 명세가 변경되지 않아 배포 전 검증을 회피하므로 은밀성이 매우 높습니다. 백도어는 실행 가능한 회로에 내장되어 런타임에서 조건부로 트리거되거나 항상 활성화된 상태로 남을 수 있습니다. 그러나 그 효과성은 종종 특정 컴파일 전략 및 하드웨어 매핑에 종속됩니다.

3. 양자 네이티브 백도어

이러한 공격은 매개변수 지형, 잡음 특성, 오류 완화 절차와 같은 양자 시스템의 고유한 특성을 악용합니다.

• 메커니즘: 대표적인 접근 방식은 잡음 트리거 매개변수 이전입니다. 데이터 중독 대신, 공격자는 매개변수 초기화나 훈련 구성을 조작하여 악성 행위를 매개변수 공간에 직접 내장합니다.
• 활성화: 백도어는 특정 하드웨어 의존 조건, 즉 특정 잡음 프로파일, 큐비트 연결성, 또는 **영잡음 외삽법 (ZNE)**과 같은 오류 완화 기법의 실행 도중에만 활성화됩니다.
• 영향: 회로 매개변수를 교란함으로써 공격은 ZNE 외삽 과정을 편향시켜 왜곡된 목적 함수 값과 잘못된 최적화 결과를 초래할 수 있습니다. 이러한 공격은 악성 행위가 회로 구조가 아닌 매개변수에 인코딩되어 있으므로 컴파일 및 트랜스파일레이션에 대해 견고합니다.

주요 기여

본 논문은 최근 진전을 종합하여 VQC 의 보안 지형에 대한 포괄적인 개요를 제공합니다.

• 공식 용어 정의: 저자들은 Benign VQC(정상 VQC), Backdoored VQC(백도어 삽입 VQC), Trigger(트리거), Attack Success Rate (ASR, 공격 성공률), Stealthiness(은밀성) 등의 핵심 용어를 정의하여 해당 분야의 통일된 어휘를 확립했습니다.
• 위험 모델링: 본 조사는 공격자의 목표 (은밀한 오작동), 능력 (데이터, 컴파일, 또는 런타임에 대한 통제), 그리고 시나리오 (제 3 자 데이터셋, 플랫폼, 사전 훈련 모델) 의 세 가지 차원에 걸쳐 위협을 특징짓습니다.
• 방어 전략에 대한 비판적 분석: 본 논문은 현재 탐지 및 방어 전략을 평가하여 그 한계를 강조합니다.
  • QSentry: 측정 통계를 클러스터링하는 출력 기반 탐지 프레임워크입니다. 이는 입력 트리거 공격에는 효과적이지만, 출력 분포를 유지하거나 최적화 목적을 표적으로 하는 공격에는 실패합니다.
  • TrojanNet: CNN 을 사용하여 이상적인 회로 패턴을 식별하는 구조 기반 탐지 프레임워크입니다. 이는 회로 위상을 유지하는 백도어 (예: 매개변수 수준 조작) 에는 효과가 없습니다.
  • 일반적 한계: 기존 방어 전략은 주로 고전적 시그니처 (입력 트리거 또는 구조적 이상) 에 의존하며, 잡음, 매개변수 지형, 또는 오류 완화를 악용하는 양자 네이티브 위협에는 불충분합니다.

결과 및 발견

본 조사는 표 1 에 요약된 대표 연구들을 검토하여 다음과 같은 사실을 입증합니다.

• 데이터 중독 공격은 통제된 환경에서 높은 ASR(>97%) 을 달성할 수 있으나, 컴파일 및 잡음으로 인해 실제 NISQ 워크플로우에서는 낮은 견고성을 보입니다.
• 컴파일러 수준 공격은 데이터 중심 방어 전략을 성공적으로 우회하지만, 종종 특정 워크플로우 및 분류 작업에 국한됩니다.
• 양자 네이티브 공격 (예: ZNE 를 표적으로 하는 공격) 은 더 강력한 위협 모델을 나타내며, 데이터 중독 없이도 VQE 및 QAOA 의 최적화 결과를 조작할 수 있을 뿐만 아니라, 컴파일에는 견고하고 표준 검증 하에서는 은밀하게 유지됩니다.

중요성 및 향후 방향

본 논문은 VQA 가 실제 배포 단계로 나아감에 따라, 보안이 고전적 영감을 받은 방어에서 양자 인식 시스템 수준 접근법으로 진화해야 한다고 주장합니다.

• 신흥 위협: 미래 공격은 하드웨어 조건 (잡음 수준, 교정 드리프트) 에 역동적으로 반응하고 전체 하이브리드 양자 - 고전 스택을 표적으로 하는 적응형 공격으로 점점 더 진화할 것으로 예상됩니다.
• 방어 요구사항: 효과적인 방어는 고립된 탐지 계층을 넘어야 합니다. 저자들은 다양한 잡음 조건 하에서의 회로 구조 검사, 매개변수 공간 감사, 런타임 행동 모니터링을 포함하는 다층 분석을 통합한 전체론적 프레임워크를 제안합니다.
• 결론: VQC 를 보호하는 것은 여전히 열린 연구 과제입니다. 본 논문은 이러한 시스템을 보호하기 위해서는 전통적인 기계 학습 보안 패러다임에만 의존하는 것이 아니라, 양자 알고리즘, 컴파일 과정, 그리고 오류 완화 기법 간의 고유한 상호작용을 해결해야 함을 강조합니다.