CLEANN 임베디드 신경망을 위한 가속형 트로이 목마 방패

초록

CLEANN은 라벨이 없는 정상 데이터만을 이용해 사전 학습 없이 딥러닝 모델에 삽입된 백도어(트로이 목마)를 실시간으로 탐지·제거하는 경량 프레임워크이다. 사전 단계에서 사전 학습된 딕셔너리를 이용해 입력 이미지와 중간 특징맵을 희소 복원하고, 재구성 오류를 기반으로 이상치를 판별한다. DCT 기반 주파수 분석과 특징 분석을 결합해 물리·디지털 트리거 모두를 탐지하며, FPGA 가속기를 통해 임베디드 시스템에서도 낮은 지연과 전력 소모를 실현한다.

상세 분석

CLEANN은 두 개의 핵심 모듈, 즉 DCT 분석기와 특징 분석기로 구성된다. DCT 분석기는 입력 이미지를 작은 패치 단위로 나누어 이산 코사인 변환을 수행하고, 변환된 주파수 계수를 사전 학습된 희소 사전(dictionary)으로 복원한다. 복원 과정에서 발생하는 재구성 오차가 정상 데이터에서 통계적으로 작은 반면, 트리거가 포함된 입력은 고주파 성분이 비정상적으로 크게 나타나 재구성 오차가 급증한다. 이 오차를 집중 부등식(concentration inequality) 기반의 이상치 탐지기에 입력해 이진 마스크를 생성하고, 마스크가 적용된 이미지가 원본 모델에 전달된다.

특징 분석기는 대상 DNN의 마지막 전층(penultimate layer)에서 추출된 특징맵에 동일한 희소 복원 절차를 적용한다. 여기서는 두 가지 목적이 있다. 첫째, 복원을 통해 트리거에 의해 왜곡된 특징을 정화(denoise)함으로써 원래의 클래스 라벨을 복구한다. 둘째, 복원 오차를 다시 이상치 탐지기에 넣어 트리거 존재 여부를 판단한다. 차원 축소와 복원을 위한 별도 모듈이 포함돼 있어 다양한 출력 차원을 가진 모델에도 적용 가능하도록 설계되었다.

학습 단계는 완전히 비지도적이다. 라벨이 없는 정상 데이터 소량(전체 데이터의 1% 이하)만으로 딕셔너리와 이상치 탐지 임계값을 추정한다. 이는 공격자가 트리거 형태, 위치, 내용 등을 자유롭게 조작하더라도 방어가 가능함을 의미한다. 또한, 기존의 역공학 기반 트리거 추출 방법과 달리 복원 오류에 기반한 탐지는 복잡한 디지털 트리거(예: TrojanNN의 워터마크)에도 높은 탐지율을 보인다.

하드웨어 측면에서 CLEANN은 FPGA에 최적화된 전용 라이브러리를 제공한다. DCT 변환은 그룹 컨볼루션 형태로 구현돼 기존 입력 레이어에 쉽게 삽입될 수 있으며, 희소 복원과 이상치 탐지는 병렬 연산이 가능한 구조로 설계돼 DNN과 동시 실행 시 지연을 최소화한다. 실험 결과, 일반적인 임베디드 보드 대비 처리량이 수십 배 향상되고 전력 소모는 크게 감소했다.

전체적으로 CLEANN은 (1) 라벨이 없는 정상 데이터만으로 방어 구축, (2) 트리거 종류에 무관한 실시간 탐지·제거, (3) 임베디드 환경에 적합한 하드웨어 가속이라는 세 축을 동시에 만족시키는 최초의 프레임워크로 평가된다.