마스크드넷 전력 측면 채널 보호를 위한 최초 하드웨어 추론 엔진

초록

본 논문은 BNN 기반 신경망 하드웨어 구현에 대한 전력 측면 채널(DPA) 공격을 실험적으로 입증하고, 마스킹 기법을 적용한 첫 번째 방어 설계를 제안한다. FPGA 보드에서 비보호 구현은 200개의 트레이스로 가중치를 복원할 수 있었으며, 제안된 마스크드 설계는 지연과 면적을 각각 2.8배·2.3배 증가시키면서 1차 DPA 공격을 무력화한다.

상세 분석

논문은 먼저 기존 암호학 분야에서 활발히 연구된 차동 전력 분석(DPA) 기법을 신경망 추론에 적용한다. 대상은 이진 가중치와 활성값을 사용하는 Binarized Neural Network(BNN)이며, 28×28 픽셀 MNIST 입력을 3개의 완전 연결 은닉층(각 1024 뉴런)으로 처리한다. 하드웨어는 SAKURA‑X FPGA에 구현되었고, 가중치‑입력 곱셈을 XNOR 연산으로 대체한 뒤, 10단계 파이프라인 어드더 트리를 이용해 1024개의 부분합을 동시에 계산한다. 저자는 파이프라인 레지스터의 스위칭 전력이 가중치와 직접 상관관계가 있음을 확인하고, 특정 레지스터(예: 2단계 레지스터)의 전력 변동을 입력값과 가중치 조합에 대한 가설과 Pearson 상관계수로 비교한다. 45 k개의 전력 트레이스 후, 올바른 4비트 가중치 가설이 99.99 % 신뢰 구간을 초과하는 피크를 보이며, 200개의 트레이스로도 충분히 복원 가능함을 실험적으로 증명한다. 또한 bias와 활성 함수 출력 역시 전력 패턴을 통해 추정할 수 있음을 보여준다. 방어 측면에서는 마스킹(masking) 기법을 신경망 연산에 맞게 변형한다. 가중치와 입력을 비밀 공유 방식으로 분할하고, 각 공유값에 무작위 마스크를 XOR·덧셈 형태로 적용한다. 특히 어드더 트리와 ReLU(실제 구현은 이진화 함수) 단계에 맞는 마스크드 어드더와 마스크드 활성 함수 회로를 설계하였다. 마스크는 1차 차분(첫 번째 차수) 공격에 대해 독립적인 잡음을 제공하도록 설계되었으며, 마스크 재생성 로직을 최소화해 면적·지연 오버헤드를 제한한다. 실험 결과, 마스크드 설계는 동일한 200 트레이스 조건에서도 상관계수가 0에 가까워져 1차 DPA 공격을 완전히 차단한다. 그러나 마스크 적용으로 인해 전체 지연이 2.8배, 사용된 LUT·플립플롭 수가 2.3배 증가하는 비용이 발생한다. 이는 암호학적 마스킹 대비 신경망 연산 특성(가중치‑입력 합산, 비선형 이진화) 때문에 추가적인 회로 복잡성이 요구된 결과이다. 논문은 또한 기존 디지털/물리적 측면 채널 방어 연구와 차별화하여, 물리적 전력 측면에서 모델 파라미터를 보호하는 최초의 실험적 증거와 구체적인 마스크드 하드웨어 설계를 제공한다는 점에서 의의가 크다.