모비우스 모델을 숨긴 이진 신경망 기반 프라이버시 보호 프레임워크

초록

모비우스는 이진 신경망(BNN)과 비밀 공유 기반 안전 연산을 결합해, 클라우드 제공자가 모델과 데이터를 열람하지 못하도록 하면서도 빠른 암호화 예측을 가능하게 한다. MNIST 실험에서 0.76초 내에 예측을 수행해 기존 SecureML보다 6배 빠른 성능을 보였다.

상세 분석

모비우스는 두 가지 핵심 기술을 조화시킨다. 첫째, BNN은 가중치와 활성값을 ±1 로 이진화해 연산량을 크게 감소시키며, 이는 비밀 공유 기반 연산에서 비트 길이가 짧은 정수 연산으로 바로 매핑될 수 있다. 둘째, 비밀 공유(secret sharing)는 입력과 모델 파라미터를 여러 서버에 분산 저장해 어느 하나의 서버가 탈취되더라도 원본 데이터를 복원할 수 없게 만든다. 기존 BNN에서 사용되던 배치 정규화는 실수 연산을 필요로 해 비밀 공유와 호환되지 않았으며, 논문에서는 이를 정수형으로 변환하는 새로운 방법을 제안한다. 구체적으로 γ, β, μ, σ 같은 배치 정규화 파라미터를 정수 스케일링하고, 소수점 이하를 절삭한 뒤 상수 곱으로 보정함으로써 연산을 완전 정수화한다. 이 과정에서 정확도 손실을 최소화하기 위해 파라미터 스케일을 조정하고, 활성화 함수인 sign를 그대로 사용한다. 또한 기존 BNN에서 비트 시프트 기반 배치 정규화가 정확도를 저하시키는 문제를 해결하기 위해 표준 배치 정규화와 동일한 효과를 내는 정수 연산을 구현했다. 이러한 개선 덕분에 모델 정확도는 기존 BNN 수준을 유지하면서도, 비밀 공유 연산에 적합한 형태가 된다. 구현은 ABY 라이브러리를 활용했으며, 2‑party 설정에서 8, 16, 32, 64 비트 모듈러 연산을 지원한다. 실험에서는 MNIST 데이터셋에 2‑layer BNN을 적용해 98%에 근접하는 정확도를 달성했고, 전체 예측 파이프라인(입력 암호화, 서버 간 연산, 결과 복호화) 평균 0.76초를 기록했다. 이는 SecureML이 사용한 부동소수점 기반 MPC보다 6배 빠른 결과이며, 구현 최적화 없이도 높은 효율성을 보여준다. 보안 모델은 반정직(semi‑honest) 공격자를 가정하고, t‑out‑of‑n 비밀 공유 스킴을 통해 서버 중 t‑1 이하가 손상돼도 모델·데이터가 노출되지 않는다. 모델 자체도 암호화된 형태로 클라우드에 저장되므로, 서비스 제공자는 모델을 열람하거나 재학습할 수 없으며, 클라이언트는 입력만 암호화해 전송한다. 따라서 데이터 프라이버시와 모델 지적 재산 보호를 동시에 달성한다는 점이 큰 의의이다.