보편적 적대적 교란 이미지 무관한 작은 변형으로 딥넷을 속이다

본 논문은 최신 이미지 분류 딥러닝 모델이 이미지마다 별도로 설계된 적대적 교란이 아니라, 하나의 이미지‑무관한 작은 교란 벡터만으로도 대부분의 자연 이미지를 오분류하게 만든다는 ‘보편적 적대적 교란(Universal Adversarial Perturbation, UAP)’의 존재를 처음으로 체계적으로 입증한다. 연구는 크게 네 부분으로 구성된다. 첫째, 보편적 교란의 정의와 목표를 수학적으로 정형화한다. 이미지 분포 μ 로부터 샘플링된 x에 대해 ‖v‖_p ≤ ξ 라는 노름 제한 하에, k̂(x+v) ≠ k̂(x) 를 만족하는 비율이 1−δ 이상이 되도록 하는 벡터 v를 찾는 것이 목표이다. 여기서 p는 ℓ₂ 혹은 ℓ_∞ 노름을 의미한다. 둘째, 이를 구현하기 위한 알고리즘을 제안한다. 입력 데이터 집합 X={x₁,…,x_m} 를 무작위 순서로 순회하면서, 현재 교란 v가 아직 x_i를 속이지 못하면 최소 노름의 추가 교란 Δv_i 를 구한다. 이 서브문제는 기존 적대적 교란 생성 기법(예: DeepFool)을 활용해 근사적으로 해결한다. 구한 Δv_i 를 현재 교란에 더하고, ‖·‖_p ≤ ξ 구에 투사하여 노름 제한을 유지한다. 전체 데이터에 대해 여러 번 반복하면서, 교란 적용 후의 경험적 오류 Err(X_v) 가 목표 1−δ 를 초과하면 알고리즘을 종료한다. 셋째, 제안된 방법을 ImageNet(ILSVRC 2012) 검증 세트와 6가지 대표적인 네트워크(CaffeNet, VGG‑F, VGG‑16, VGG‑19, GoogLeNet, ResNet‑152) 에 적용해 실험한다. ℓ₂ 노름에서는 ξ=2000, ℓ_∞ 노름에서는 ξ=10 으로 설정했으며, 이는 이미지 전체 밝기 대비 매우 작은 값이다. 실험 결과, 대부분의 네트워크에서 80% ~ 90% 이상의 이미지가 교란에 의해 라벨이 바뀌는 높은 fooling rate 를 기록했다. 특히 VGG‑19와 GoogLeNet에서 ℓ_∞ 교란은 90% 이상을 속였으며, ResNet‑152에서도 80% 이상을 달성했다. 넷째, 보편적 교란의 일반화 특성을 두 차원에서 분석한다. 첫째, 데이터 일반화 측면에서, 교란을 계산할 때 사용한 X의 크기를 10 000장(전체 훈련 데이터의 일부)에서 500장까지 줄였을 때도 검증 세트에서 30% 이상의 fooling rate 를 유지했다. 이는 한 이미지당 하나의 교란을 설계하는 기존 적대적 공격과 달리, 매우 작은 샘플만으로도 전체 데이터 분포에 대한 교란을 만들 수 있음을 의미한다. 둘째, 모델 일반화 측면에서, 한 네트워크에 대해 만든 교란을 다른 네트워크에 적용했을 때도 53% ~ 78% 정도의 높은 fooling rate 를 보였다. 특히 VGG‑19에서 만든 교란은 모든 다른 네트워크에서 53% 이상을 속였으며, 이는 교란이 특정 모델 구조에 국한되지 않고, 여러 모델이 공유하는 결정 경계의 구조적 약점을 이용한다는 것을 보여준다. 또한, 교란이 라벨을 바꾸는 방식을 시각화하기 위해 라벨 간 전이 그래프를 구축했다. 각 정점은 ImageNet 클래스, 간선은 교란 후 다수 이미지가 이동하는 라벨을 나타낸다. 그래프는 몇 개의 큰 연결 성분으로 나뉘며, 각 성분 내에서는 하나의 ‘우세 라벨’이 존재한다. 이는 보편적 교란이 특정 라벨로 이미지를 몰아넣는 경향이 있음을 시사한다. 마지막으로, 이러한 현상이 발생하는 근본 원인을 고차원 결정 경계의 기하학적 상관관계로 설명한다. 딥러닝 모델의 결정 경계는 고차원 공간에서 복잡하게 얽혀 있으며, 여러 클래스의 경계가 서로 근접한 ‘공통 방향’이 존재한다. 작은 교란이 이 방향을 따라 이동하면, 다수의 클래스가 동시에 경계 밖으로 빠져 나가 동일한 혹은 유사한 라벨로 전이된다. 이는 모델이 학습 데이터의 다양성을 충분히 반영하지 못하고, 특정 방향에 과도하게 민감함을 의미한다. 이러한 발견은 보안 측면에서 심각한 위협을 제기한다. 실제 시스템에 적용된 이미지 분류 모델이 사전에 알려지지 않은 보편적 교란에 의해 쉽게 오동작할 수 있다. 따라서 방어 전략으로는 (1) 교란에 강인한 학습(예: adversarial training) 시에 다양한 보편적 교란을 포함시키는 방법, (2) 입력 단계에서 교란을 탐지·제거하는 전처리, (3) 모델 자체의 결정 경계가 보다 균일하게 분포하도록 정규화하거나 구조적 제약을 가하는 방법 등이 제안될 수 있다. 전반적으로, 이 논문은 “모든 이미지에 동일하게 적용 가능한 작은 교란이 존재한다”는 강력한 사실을 실험과 이론을 통해 입증함으로써, 딥러닝 모델의 일반화와 보안에 대한 새로운 연구 방향을 제시한다.