미니맥스 방어로 그래디언트 기반 적대 공격 차단

본 논문은 현재 대부분의 적대적 공격이 신경망 분류기의 손실 함수에 대한 그래디언트를 이용한다는 점에 착안하여, 그래디언트 기반 최적화와는 다른 미니맥스 최적화를 통해 방어를 시도한다. 저자들은 GAN(Generative Adversarial Network)의 판별자를 실제 분류기로 활용하고, 생성기는 입력을 원본 데이터 매니폴드와는 다른 새로운 매니폴드로 투사하도록 설계하였다. 이때 판별자는 “Real/Fake” 라벨뿐 아니라 각 클래스 라벨을 동시에 학습함으로써, 기존의 단순 이진 판별이 아니라 다중 클래스 분류와 적대적 게임을 동시에 수행한다. 논문은 먼저 적대적 공격과 방어에 대한 기존 연구를 정리한다. CW, DeepFool, FGSM 등 주요 공격은 모두 손실 함수의 그래디언트를 이용해 최적화 문제를 푼다. 기존 방어 기법으로는 adversarial training, 매니폴드 복원(MagNet, Defense‑GAN, APE‑GAN), 그래디언트 마스킹(Defensive Distillation) 등이 있으나, 모두 그래디언트를 이용하는 공격에 의해 우회될 수 있다. 특히 매니폴드 복원 방식은 원본 데이터 매니폴드가 공격의 원인이라고 가정하지만, 저자들은 데이터의 저확률 영역이 공격성을 유발한다는 기존 연구를 인용해 매니폴드 자체를 재구성하는 접근을 제안한다. 제안된 Minimax 방어는 두 단계로 이루어진다. 첫 번째 단계는 GAN 훈련으로, 생성기는 잠재공간에서 무작위 초기화를 수행하고, 입력 이미지와 가장 유사한 재구성 이미지를 찾는다. 여기서 “유사성”은 재구성 오차가 최소인 샘플을 선택하는 방식이며, 이는 기존 Defense‑GAN과 유사하지만 목표 매니폴드가 원본이 아닌 변형된 매니폴드라는 점에서 차별화된다. 두 번째 단계에서는 훈련된 판별기가 최종 분류기로 사용된다. 판별기는 원본 라벨 정보를 포함해 학습되므로, 생성기가 투사한 변형 매니폴드 위에서 정확한 클래스 예측을 수행한다. 실험은 세 가지 데이터셋(MNIST, CIFAR‑10, 독일 교통표지 데이터셋)과 세 가지 대표적인 그래디언트 기반 공격(CW, DeepFool, FGSM)을 대상으로 수행되었다. 결과는 다음과 같다. CW 공격에 대해 MNIST에서는 98.07%의 정확도를 기록했으며, 이는 비공격 상황(98.93%)과 거의 차이가 없다. CIFAR‑10에서는 73.90%로, 비공격 상황(83.14%)에 비해 약 9% 정도 감소했지만, 여전히 실용적인 수준이다. TRAFFIC 데이터셋에서는 94.54%를 달성해 비공격 상황(96.97%)에 근접했다. DeepFool 공격에서도 유사한 성능을 보였으며, FGSM에 대해서도 MNIST 97.01%, CIFAR‑10 76.79%, TRAFFIC 81.41%의 정확도를 유지했다. 전체적으로, 제안된 방어는 기존 그래디언트 기반 공격에 대해 높은 견고성을 보였지만, 특히 복잡한 자연 이미지(CIFAR‑10)에서는 약간의 성능 저하가 관찰되었다. 논문은 또한 제안된 방어의 장점과 한계를 논의한다. 장점으로는 (1) 별도의 adversarial training 없이도 방어가 가능하고, (2) GAN의 미니맥스 게임을 이용해 그래디언트 기반 공격을 근본적으로 무력화한다는 점을 들었다. 한계로는 (1) 생성기의 매니폴드 변형이 어떻게 정의되는지에 대한 정량적 설명이 부족하고, (2) 하이퍼파라미터 선택이 결과에 미치는 영향 분석이 부족하며, (3) 비그래디언트 기반 공격이나 물리적 공격에 대한 평가가 없다는 점을 지적한다. 또한 CIFAR‑10에서의 성능 저하는 변형 매니폴드가 복잡한 시각 정보를 충분히 보존하지 못한다는 가능성을 시사한다. 결론적으로, 이 연구는 GAN 기반 미니맥스 최적화를 적대적 방어에 적용함으로써 기존 그래디언트 마스킹 방어의 한계를 넘어서는 새로운 방어 패러다임을 제시한다. 향후 연구에서는 매니폴드 변형 과정을 보다 체계적으로 설계하고, 다양한 공격 유형에 대한 포괄적 평가를 통해 실용성을 높이는 것이 필요하다.