DNN 견고성 검증을 가속화하는 아킬레스건 탐색

초록

본 논문은 ReLU 기반 딥 뉴럴 네트워크(DNN)의 로컬 견고성 검증에서, 출력값 중 가장 큰 값과 두 번째 큰 값의 차이가 작을수록 해당 입력이 “아킬레스건”이 된다는 관찰을 기반으로 입력 선택 전략을 제안한다. 연속성 증명을 통해 이 차이가 작을수록 작은 입력 변동으로 라벨이 바뀔 가능성이 높아짐을 보이고, 이를 활용한 사전 분석 및 그리디 탐색 기법을 Reluplex와 여러 공격 기법에 적용해 검증 속도를 10배 이상, 성공률을 3배 이상 향상시켰다.

상세 분석

논문은 먼저 ReLU 활성함수가 연속함수임을 정리하고, 연속성은 함수 합성에 대해 닫혀 있음을 정리(정리 1, 2)함으로써 전체 DNN이 입력에 대해 연속임을 수학적으로 증명한다. 이 연속성은 “출력 차이(Nₙd) = V₁ – V₂”가 작은 입력 주변에서는 미세한 입력 변동이 출력 순위 변화를 일으킬 확률이 높다는 직관적 근거를 제공한다. 저자는 MNIST와 ACAS‑Xu 두 벤치마크에서 Nₙd 값이 최소인 샘플들을 시각화했으며, 인간이 인식하기 어려운 흐릿한 이미지가 대부분임을 확인한다. 이어서 Reluplex를 이용해 무작위로 선택한 100개의 입력에 대해 다양한 δ(거리)값을 적용해 로컬 견고성 검증을 수행했을 때, Nₙd가 작을수록 SAT(즉, 반례 존재) 결과가 빈번히 도출되는 현상을 실험적으로 입증한다.

이러한 관찰을 바탕으로 두 단계의 부스팅 기법을 설계한다. 첫 번째 단계는 “입력 평가 함수” E(x)=Nₙd(x) 를 계산해 전체 입력 공간(또는 훈련 데이터)에서 가장 작은 E값을 가진 후보들을 추출한다. 두 번째 단계는 후보 입력을 중심으로 작은 반경(ε) 내에서 그리디 탐색을 수행한다. 탐색 과정에서는 현재 입력의 E값을 감소시키는 방향으로 미분 근사 혹은 무작위 샘플링을 반복하며, 일정 횟수 이상 개선되지 않으면 탐색을 종료하고 해당 입력을 검증 엔진에 전달한다. 만약 사전 탐색 단계에서 이미 반례가 발견되면, Reluplex와 같은 완전 검증 도구는 불필요하게 실행되지 않아 전체 검증 파이프라인의 시간 비용을 크게 절감한다.

실험에서는 제안된 부스팅 방법을 Reluplex와 FGSM, PGD, CW, DeepFool 네 가지 공격 기법에 적용하였다. 두 벤치마크 모두에서 무작위 선택 대비 평균 10배 이상의 시간 절감 효과가 관측되었으며, 동일 시간 제한 하에서 발견된 반례 수는 10배 이상 증가했다. 특히 공격 기법들의 성공률(반례 생성 성공)은 평균 3.2배 향상되었으며, 이는 기존 검증 파이프라인이 “아킬레스건” 입력을 놓치고 있었던 한계를 극복했음을 의미한다.

이 논문은 DNN 견고성 검증에서 입력 선택의 중요성을 수학적 연속성 이론과 실증적 분석을 통해 명확히 제시하고, 경량 사전 분석과 그리디 탐색을 결합한 실용적 부스팅 프레임워크를 제공한다. 향후 연구에서는 비ReLU 활성함수, 다중 클래스·다중 목표 상황, 그리고 대규모 모델(예: ResNet, Transformer)으로의 확장 가능성을 탐색할 여지가 있다.