스파이킹 신경망은 안전한가: 적대적 공격에 대한 비교 연구

본 논문은 스파이킹 신경망(SNN)의 보안성을 검증하기 위해, 스파이킹 딥 신뢰 네트워크(SDBN)와 전통적인 딥 뉴럴 네트워크(DNN)를 동일한 구조와 파라미터(784‑500‑500‑10)로 설계하고, 두 모델에 대한 적대적 공격 및 무작위 잡음의 영향을 비교 분석한다. 서론에서는 SNN이 생물학적 타당성, 에너지 효율성, 계산적 파워 등에서 DNN을 능가한다는 기존 장점을 언급하면서도, 보안 측면에서의 연구가 부족함을 지적한다. 이어지는 배경 섹션에서는 DBN과 SDBN의 학습 메커니즘(Restricted Boltzmann Machine, Persistent Contrastive Divergence, Siegent 함수 기반 LIF 스파이크 발생)과, DNN에 대한 적대적 공격(White‑box, Black‑box, 목표/비목표, 다양한 공격 알고리즘)들을 정리한다. 연구 방법론은 크게 두 부분으로 나뉜다. 첫 번째는 무작위 잡음 실험이다. 저자는 정규분포와 균등분포 잡음을 δ=0.02부터 0.4까지 다양한 크기로 이미지 전체, 훈련 전용, 테스트 전용, 그리고 훈련·테스트 모두에 적용한다. 실험 결과, 테스트 이미지에 잡음을 추가하면 정확도가 잡음 크기에 비례해 감소하고, 정규분포 잡음이 더 큰 영향을 미친다. 반면, 훈련 이미지에 잡음을 주입하면 δ≤0.1 구간에서 정확도가 약간 상승하는 현상이 관찰되었으며, 이는 잡음이 일반화 능력을 향상시켜 과적합을 방지하기 때문이다. 또한, 잡음이 이미지 중앙의 중요한 픽셀에 집중될 경우 정확도 감소가 더 급격히 나타났으며, 이는 SNN이 입력의 시공간적 특성에 민감함을 시사한다. 두 번째는 블랙박스 공격 알고리즘 개발이다. 공격자는 네트워크 내부 구조를 알 수 없으므로, 입력‑출력 관계만을 이용해 손실 함수를 정의한다. 손실은 (1) 인간 시각 시스템이 감지하기 어려운 고분산 영역에 픽셀 변형을 집중시키는 ‘인식 불가능성’ 요소와, (2) 물리적 변환(압축·리사이징) 후에도 오분류가 유지되는 ‘견고성’ 요소를 동시에 최적화한다. 구체적으로, 그리디히 가장 큰 출력 확률 변화를 일으키는 픽셀을 선택하고, 해당 픽셀에 작은 확률 변화를 적용해 스파이크 발생률을 조절한다. 이 과정은 반복적으로 수행되어 최종적인 적대적 이미지가 생성된다. 실험에서는 동일한 MNIST 데이터셋을 사용해 SDBN과 DNN에 대해 위 공격을 적용한다. 결과는 다음과 같다. (1) SDBN은 이미지가 인간에게 거의 변형되지 않은 상태에서도 일부 경우에만 오분류를 일으켰으며, DNN에 비해 성공률이 낮았다. (2) 공격 후 출력 확률 분포는 DNN처럼 특정 클래스에 크게 몰리기보다는 여러 클래스에 걸쳐 퍼지는 경향을 보였으며, 이는 SNN의 확률적 스파이크 메커니즘이 작은 입력 변동에 대해 완전한 결정적 반응을 하지 않기 때문이다. (3) 무작위 잡음 실험과 결합했을 때, 잡음이 큰 경우에는 공격 성공률이 오히려 감소하는 현상이 관찰되었다. 논문의 주요 기여는 네 가지이다. 첫째, SDBN에 무작위 잡음을 추가했을 때 정확도 변화를 정량적으로 분석하였다. 둘째, 잡음이 훈련 데이터에 포함될 경우 일반화가 향상되는 현상을 확인하였다. 셋째, 블랙박스 환경에서 SNN에 대한 그리디 기반 적대적 공격 방법론을 제시하였다. 넷째, 동일한 공격 기법을 SDBN과 DNN에 적용해 두 모델의 취약점과 방어 필요성을 비교하였다. 결론에서는 SNN이 DNN보다 에너지 효율적이고 생물학적 특성을 갖지만, 보안 측면에서는 여전히 취약점이 존재함을 강조한다. 특히, 입력의 중요한 영역에 대한 작은 변형이 스파이크 전파를 교란시켜 오분류를 유발할 수 있다. 향후 연구 방향으로는 다양한 SNN 아키텍처(예: LIF, Izhikevich), 보다 복잡한 데이터셋(예: CIFAR‑10, ImageNet) 및 실제 Neuromorphic 하드웨어에서의 실시간 공격‑방어 시뮬레이션을 제안한다. 또한, 인간 시각 감도와 물리적 변환을 고려한 방어 메커니즘(예: 입력 정규화, 잡음 억제 레이어) 개발이 필요함을 제시한다.