확률적 강인성 실용적인 신경망 검증 접근법

초록

본 논문은 기존의 최악‑사례(적대적) 강인성 정의가 실제 서비스에 과도하게 강력함을 지적하고, 입력이 실제 확률분포를 따른다는 전제 하에 “확률적 강인성”을 제안한다. 네트워크가 δ‑근접한 입력 쌍에 대해 출력 차이가 입력 차이의 k배 이하인 Lipschitz 조건을 1‑ε 확률로 만족하도록 정의하고, 이를 검증하기 위해 추상 해석과 중요도 샘플링을 결합한 알고리즘을 설계한다.

상세 분석

논문은 먼저 로컬·글로벌 강인성의 한계를 명확히 규정한다. 로컬 강인성은 특정 입력 주변의 모든 점에 대해 동일한 출력을 요구하지만, 실제 데이터에서는 그 영역 내 포인트들의 발생 확률이 크게 차이날 수 있다. 글로벌 강인성은 전체 입력공간에 대해 동일 조건을 강제해 계산적으로 불가능하고, 실용성도 떨어진다. 이러한 문제점을 해결하기 위해 저자들은 확률적 강인성을 “입력 분포 D에 대해 δ‑근접한 입력 쌍이 전체 확률 1‑ε 이상을 차지하면, 그 쌍에 대해 Lipschitz 상수 k를 만족한다”는 형태로 정의한다. 이 정의는 (1) 연속형 출력 가정 하에 Lipschitz 연속성을 활용해 수학적으로 깔끔하고, (2) ε를 조정함으로써 검증 비용과 강인성 수준 사이의 트레이드오프를 제공한다.

검증 절차는 두 단계로 나뉜다. 첫째, 원본 신경망 f를 두 복사본으로 구성한 product network pf를 만든다. 이는 입력을 (x, x′) 형태로 받아 각각 독립적으로 f를 실행하고, 출력 (y, y′)을 반환한다. 이렇게 하면 “두 트레이스 간 관계”라는 하이퍼프로퍼티를 단일 트레이스로 변환할 수 있다. 둘째, 추상 해석을 이용해 φ = ¬(‖y‑y′‖ ≤ k·‖x‑x′‖) 라는 위반 조건을 만족하는 입력 영역을 과대근사한다. 저자들은 다항형(polyhedra) 추상 도메인을 사용해 연산을 효율화하고, 결과로 얻은 각 다항형 p에 대해 중요도 샘플링을 수행한다. 중요도 샘플링은 위반 영역이 희박할 경우 일반 Monte‑Carlo보다 적은 샘플로 정확한 확률 추정을 가능하게 한다. 최종적으로 모든 다항형에 대한 추정 확률을 합산해 ε와 비교함으로써 강인성 여부를 판단한다.

이 접근법의 강점은 (i) 기존 최악‑사례 검증보다 훨씬 완화된 요구조건으로 실용적인 검증이 가능하고, (ii) 추상 해석이 제공하는 sound over‑approximation과 중요도 샘플링이 결합돼 확률적 오류 한계를 엄격히 제어한다는 점이다. 그러나 몇 가지 제한점도 존재한다. 첫째, 입력 분포 D가 알려져 있거나 적어도 근사 가능한 경우에만 적용 가능하며, 실제 데이터가 복잡한 다변량 분포일 때는 사전 모델링 비용이 크게 증가한다. 둘째, 연속형 출력 가정 때문에 순수한 분류기(soft‑max 전 출력)에는 추가 변환이 필요하고, 이 변환 과정에서 발생할 수 있는 근사 오차가 결과에 영향을 미칠 수 있다. 셋째, 다항형 추상 도메인은 차원이 높아질수록 과도한 과대근사를 일으켜 중요도 샘플링 비용을 급증시킬 위험이 있다. 마지막으로, 알고리즘의 실제 스케일링 성능을 입증하기 위한 실험 결과가 논문에 충분히 제시되지 않아, 대규모 딥러닝 모델에 적용 가능성은 아직 검증 단계에 있다.