Can Quantum Federated Learning Withstand Circuit-Level Backdoors?

본 논문은 악의적인 클라이언트가 양자 연방 학습의 양자 고유의 메커니즘을 악용하여 은밀하게 심각한 정확도 저하를 유도할 수 있음을 보여주는 회로 수준의 백도어 위협 (CULT) 모델을 제시하며, 기존 방어 메커니즘이 최악의 경우 실패를 방지하지 못하는 경우가 많음을 밝힙니다.

핵심

마치 이웃들이 요리용 단일 초지능 레시피 책을 만들려고 노력하는 상황을 상상해 보세요. 그들은 비밀 가족 레시피(개인 정보를 포함함) 를 공유하는 대신, 각자 집에서 레시피를 보관합니다. 매주 그들은 자신의 레시피에 가한 변경 사항만 중앙 관리자에게 보내고, 관리자는 이를 모두 섞어 더 나은 '글로벌' 버전을 만듭니다. 이것이 **연방 학습 (Federated Learning)**입니다.

이제 이 그룹이 이러한 레시피 작성을 돕기 위해 **양자 컴퓨터 (정보를 처리하기 위해 물리의 이상한 규칙을 사용하는 기계)**를 사용하기 시작한다고 상상해 보세요. 이것이 **양자 연방 학습 (QFL)**입니다.

이 논문은 아무도 눈치채지 못한 채 한 '나쁜 이웃'이 전체 레시피 책을 망칠 수 있는 무서운 새로운 방법을 소개합니다. 저자들은 이를 **CULT(CircUit-Level backdoor Threat, 회로 수준 백도어 위협)**라고 명명했습니다.

간단한 비유를 사용하여 작동 방식을 다음과 같이 분해해 보겠습니다:

1. 설정: 양자 레시피 책

이 시스템에서 모든 이웃은 '양자 회로'를 가지고 있습니다. 이 회로를 데이터 (재료) 를 요리 지시 (예측) 로 변환하는 복잡하고 다단계의 기계로 생각하세요.

• 선한 이웃들: 그들은 글로벌 레시피를 더 좋게 만들기 위해 자신의 기계를 약간 조정합니다.
• 나쁜 이웃: 그들은 예를 들어 모든 고양이 사진이 개로 잘못 식별되도록 하지만 책의 나머지는 완벽해 보이도록 이 책을 파괴하고 싶어 합니다.

2. 공격: 'CULT' 모델

이 논문은 현재 보안 조치들이 양자 기계 내부를 조작하는 나쁜 이웃을 어떻게 식별할지 모른다고 주장합니다. 저자들은 나쁜 이웃이 시스템을 파괴할 수 있는 네 가지 구체적인 방법을 제안합니다:

• '그로버 (Grover)' 공격 (숨겨진 트리거): 나쁜 이웃이 자신의 기계에 비밀 스위치를 설치한다고 상상해 보세요. 특정 작은 먼지 알갱이 (트리거) 가 있는 고양이 사진을 넣으면, 기계는 스위치를 뒤집고 "개!"라고 외칩니다. 이는 양자 파동이 서로 간섭하는 방식을 변경함으로써 이루어집니다.
• '파울리 (Pauli)' 공격 (스핀 미세 조정): 양자 입자는 '스핀'이라는 속성을 가지고 있습니다. 나쁜 이웃은 이러한 스핀을 미세하게 회전시킵니다. 나침반 바늘을 약간 기울이는 것과 같습니다. 기계가 고장 나는 것은 아니지만, 글로벌 레시피를 서서히 잘못된 방향으로 이끕니다.
• '비트 플립 (Bit-Flip)' 공격 (간헐적 오류): 나쁜 이웃의 기계가 10 번 중 9 번은 완벽하게 작동하지만, 10 번째에는 동전을 앞면에서 뒷면으로 뒤집는다고 상상해 보세요. 매우 구체적이고 리드미컬한 패턴으로 이를 수행함으로써, 관리자에게는 일반적인 노이즈처럼 보이는 데이터에 숨겨진 편향을 만듭니다.
• '사인 플립 (Sign-Flip)' 공격 (역방향 오dometer): 이는 나쁜 이웃의 기계가 갑자기 '양수'를 '음수'로 결정한다고 상상해 보세요. 학습 신호의 방향을 반전시켜 그룹이 올바른 답을 '배우지 않도록' 효과적으로 지시합니다.

3. 은폐: 그들이 숨는 방법

이 논문에서 가장 무서운 부분은 나쁜 이웃이 어떻게 숨는지에 대한 것입니다.

• '노름 (Norm)' 트릭: 대부분의 보안 시스템은 이웃의 업데이트가 '너무 크거나' '너무 이상한지' (예: 레시피 변경 사항이 100 페이지인지 확인하는 것) 확인합니다. 이 연구의 나쁜 이웃은 그들의 파괴 업데이트가 정상 크기로 보이도록 만듭니다. 그들은 피해를 입히기에 충분하지만 자로 측정했을 때 의심스러워 보이지 않을 정도로 양자 기계를 미세하게 조정합니다.
• '히스토리 (History)' 트릭: 나쁜 이웃은 선한 이웃들이 보통 무엇을 하는지에 대한 일기를 보관합니다. 그들이 파괴 업데이트를 보낼 때, 선한 이웃이 보낼 것과 정확히 같은 것처럼 보이도록 위장합니다. 그들은 심지어 정상적인 어수선한 양자 측정처럼 보이게 하기 위해 약간의 '노이즈' (정적) 를 추가합니다.

4. 결과: 얼마나 나쁜가?

저자들은 AI 의 표준 시험과 같은 두 가지 유명한 데이터셋 (MNIST 및 CIFAR-10) 에서 이를 테스트했습니다.

• 한 개의 나쁜 사과: 20 명 중 단 한 명만 나쁘더라도 (5%), 전체 그룹의 성능이 붕괴될 수 있습니다.
  • MNIST 테스트에서 정확도는 **92% 에서 40%**로 떨어졌습니다.
  • CIFAR-10 테스트에서 정확도는 **70% 에서 34%**로 떨어졌습니다.
• 방어 실패: 이 논문은 나쁜 이웃을 퇴출시키도록 설계된 인기 있는 보안 도구들 ('Krum' 또는 'FoolsGold' 등) 을 테스트했습니다.
  • 결과: 이러한 도구들은 최악의 공격을 막지 못했습니다. 많은 경우 정확도는 여전히 **50%**만큼 떨어졌습니다.
  • 이유: 나쁜 업데이트가 좋은 업데이트와 너무 비슷해서 보안 도구들이 차이를 구별할 수 없었기 때문입니다. 완벽한 경찰 제복을 입은 도둑과 같습니다; 보안 요원은 그들을 통과시킵니다.

5. 결론

이 논문은 양자 연방 학습이 현재 이러한 특정 유형의 회로 수준 공격에 매우 취약하다고 결론 내립니다.

• 현재의 방어책은 건초더미에서 바늘을 찾는 것과 같지만, 나쁜 이웃은 그 바늘을 나머지 건초와 정확히 똑같이 보이는 건초 조각으로 바꾸어 놓았습니다.
• 저자들은 단순히 결과를 '평균화'하거나 '이상한 크기'를 확인하는 것만으로는 안 된다고 경고합니다. 우리는 이러한 은밀한 파괴자들을 잡기 위해 양자 회로의 특정 물리학을 이해하는 새로운 보안 방법이 필요합니다.

간단히 말해: 단일 악의적 사용자는 공유 학습 프로젝트의 양자 '엔진'을 비밀리에 재배선하여 극적으로 실패하게 만들 수 있으며, 현재 보안 요원들은 '시끄러운' 소음을 확인하느라 바빠 조용한 파괴를 눈치채지 못합니다.

기술 요약

기술 요약: 양자 연방 학습이 회로 수준 백도에어에 견딜 수 있는가?

문제 정의

양자 연방 학습 (QFL) 은 연방 학습 (FL) 의 개인정보 보호 특성과 매개변수화 양자 회로 (PQC) 의 계산적 이점을 결합합니다. FL 이 악성 클라이언트가 백도에어를 주입하는 데 취약한 것으로 알려져 있는 반면, QFL 은 새로운 공격 표면인 양자 회로 자체를 도입합니다. 기존 연구는 악성 클라이언트가 중첩, 얽힘, 측정 통계와 같은 양자 고유의 메커니즘을如何利用하여 은밀한 백도에어 공격을 시작할 수 있는지에 대해 포괄적으로 분석하지 않았습니다. 다루어진 핵심 질문은 양자 충실도 및 분산 최적화의 제약 조건 내에서 작동하는 악성 클라이언트가 제기하는 회로 수준 백도에어 공격에 QFL 이 견딜 수 있는지 여부입니다.

방법론: CULT 모델

저자들은 회로 수준 백도에어 위협 (CircUit-Level backdoor Threat, CULT) 이라는 새로운 위협 모델을 제안합니다. 이 모델은 QFL 의 학습 중 (회로 실행) 및 학습 후 (업데이트 전송) 단계를 모두 활용하는 네 가지 구별되고 은밀한 공격 벡터를 형식화합니다.

1. 공격 표면

CULT 모델은 두 가지 표면에서 작동합니다:

• 표면 S1 (학습 중/회로 수준): 악성 클라이언트는 특정 확률 ($\rho$) 로 로컬 학습 라운드 동안 순전한 변분 양자 계층을 특정 공격 회로로 대체합니다. 또한 독이 든 라운드에서 손실 함수를 스케일링하여 그라디언트 신호를 증폭시킵니다.
• 표면 S2 (학습 후/업데이트 제작): 로컬 최적화 후 악성 클라이언트는 전송 전에 원시 업데이트를 변환합니다. 그들은 순전한 업데이트와 유사한 업데이트의 역사를 활용하여 순전한 업데이트 다양체 (manifold) 에 가깝게 유지되는 델타를 제작함으로써 노름 기반 및 클러스터링 기반 방어를 효과적으로 회피합니다.

2. 제안된 네 가지 공격

이 논문은 순전한 업데이트의 근접성 내에 머무르도록 설계된 네 가지 구체적인 회로 수준 공격을 소개합니다:

1. Grover 위상 오라클 공격: 오라클 연산자 $O_\omega$를 사용하여 표시된 계산 기저 상태 ($|\omega\rangle$) 에 조건부 위상 반전을 적용합니다. 이는 후속 회로 계층에서의 간섭 패턴을 변경하여 고전적 헤드가 처리하기 전에 측정된 특징 벡터를 편향시킵니다.
2. Pauli 회전 공격: 선택된 양자 비트의 부분 집합에 일관된 텐서 곱 Pauli 회전을 적용합니다. 이는 업데이트의 기하학적 근접성을 순전한 업데이트에 유지하면서 측정 통계를 이동시킵니다.
3. 비트 플립 공격: 비트 문자열 통계에서 무작위 노이즈가 아닌 구조화된 저주파 드리프트를 생성하기 위해 특정 라운드에서 지정된 양자 비트를 주기적으로 플립합니다.
4. 위상 킥백 부호 반전 공격: 측정된 양자 비트에 $\pi$ 위상을 적용하여 해당 Pauli-Z 기대값의 부호를 반전시킵니다. 이는 역전파 후 체계적인 그라디언트 반전 효과를 유발합니다.

3. 업데이트 제작 메커니즘

은밀성을 보장하기 위해 공격자는 다음을 통해 제작된 업데이트 ($\tilde{\Delta}\theta$) 를 구성합니다:

• 업데이트를 가장 가까운 역사적 순전한 참조에 고정합니다.
• 방어가 학습한 지배적인 방향을 피하기 위해 순전한 역사에서 상위 주성분을 제거합니다.
• 순전한 클라이언트의 통계적 노름 분포와 일치하도록 업데이트를 재조정합니다.
• 순전한 업데이트 구조를 모방하기 위해 희소성 제약을 적용합니다.

이론적 분석

이 논문은 표준 매끄러움 가정 ($L$-smoothness) 하에서 CULT 공격이 글로벌 모델 궤적에 유계 섭동을 유발함을 보여주는 엄격한 이론적 기반을 확립합니다.

• 은밀성 제약: 저자들은 악성 업데이트가 순전한 델타의 견고한 중심에 대한 반지름과 코사인 유사도 임계값으로 제한되는 실행 가능한 은밀성 집합을 정의합니다.
• 정확도 저하: 모델이 결정 경계 근처에 비자명한 질량의 점들을 가지고 있다면, 공격에 의해 유발된 유계 드리프트가 예측을 뒤집기에 충분하여 측정 가능한 정확도 저하를 초래한다는 충분 조건이 제공됩니다. 이 분석은 악성 클라이언트 하나만으로도 글로벌 궤적에 상당한 편차를 유발할 수 있음을 증명합니다.

실험 결과

실험은 각각 5 개와 9 개의 양자 비트를 사용하는 하이브리드 양자 신경망 (QNN) 을 사용하여 MNIST 및 CIFAR-10 데이터셋에서 수행되었으며, 비-IID 데이터 분할 (Dirichlet $\alpha=0.9$) 하에서 진행되었습니다.

주요 발견:

1. 공격의 심각성: 표준 FedAvg 집계 하에서도 악성 클라이언트 하나 ($q=5\%$) 만으로도 심각한 정확도 저하를 초래합니다.
   • MNIST 에서 Grover 공격은 정확도를 92.65% 에서 40.95% 로 낮추어 약 52% 감소시켰습니다.
   • CIFAR-10 에서 Grover 공격은 정확도를 70.15% 에서 34.87% 로 낮췄습니다.
2. 방어의 실패: 인기 있는 견고한 집계 방법 (Krum, Multi-Krum, FoolsGold, FLGuardian, Mud-HoG) 은 많은 영역에서 저하를 줄이지만 최악의 실패 사례를 제거하지는 못합니다.
   • 특정 시나리오에서는 방어가 활성화되어 있더라도 정확도가 최대 50% 까지 떨어집니다.
   • 일부 방어 (예: Krum) 는 공격이 없는 경우에도 성능을 압축하는 "과소적합"으로 고통받으며, 이는 안정적으로 보이지만 실제로는 모델의 유용성을 감소시킵니다.
3. 은밀성: 공격은 그 존재를 효과적으로 가립니다. 악성 업데이트는 순전한 노름에 가깝게 유지되어 이상치 임계값이나 단순 그라디언트 통계에 의존하는 시스템에 의한 탐지를 회피합니다.
4. 비단조성: 정확도 저하는 공격자 비율 ($q$) 에 비례하여 단조롭게 증가하지 않습니다. 비-IID 분할과 양자 측정의 확률적 특성으로 인해 정확도가 변동할 수 있으므로, "공격자가 증가함에 따라 정확도가 떨어져야 한다"와 같은 단순한 휴리스틱은 무효화됩니다.

중요성 및 주장

이 논문은 QFL 컨텍스트에서 회로 수준 백도에어 공격을 포괄적으로 분석하고 형식화한 최초의 작업이라고 주장합니다. 그 중요성은 다음과 같습니다:

• 격차 해소: QFL 내에서 공격 설계와 은밀성 분석을 통합하여 양자 충실도 제약과 FL 의 분산 특성을 모두 존중합니다.
• 현재 방어에 대한 도전: 결과는 악성 업데이트가 순전한 기하학을 모방하면서도 모델 성능을 심각하게 저하시킬 수 있으므로, 현재 견고한 집계 기술이 양자 인식 공격에 불충분함을 보여줍니다.
• 이론적 검증: 이 작업은 유계이며 은밀성 제약이 있는 업데이트가 예측을 뒤집고 정확도를 저하시킬 수 있음을 이론적으로 증명하여, 경험적 관찰을 넘어 취약성에 대한 형식적 보장을 제공합니다.

저자들은 향후 방어가 일반적인 이상치 탐지를 넘어 양자 인식 신호, 즉 회로 수준 일관성 점검 및 측정 분포에 대한 시간적 안정성 제약을 통합하여 CULT 위협 모델을 효과적으로 대응해야 한다고 결론지었습니다.