가역적 적대적 공격을 위한 이미지 변환 기반 기법

초록

본 논문은 기존의 가역적 데이터 임베딩(RDE) 방식이 강한 적대적 교란을 삽입할 경우 발생하는 왜곡과 복원 실패 문제를 해결하고자, 가역적 이미지 변환(RIT) 기술을 활용한 새로운 가역적 적대적 예시(RAE) 생성 방법을 제안한다. 제안 방법은 적대적 교란을 직접 임베딩하지 않고, 원본 이미지를 목표(적대적) 이미지로 가역적으로 변환함으로써 교란 강도와 무관하게 무손실 복원과 높은 시각적 품질을 동시에 달성한다. 실험 결과, ImageNet‑5000 데이터셋과 Inception‑v3 모델을 대상으로 IFGSM, DeepFool, C&W 공격을 적용했을 때, 제안 기법은 기존 RDE‑based RAE 대비 복원 오류가 0에 가깝고 PSNR/SSIM이 크게 향상되었으며, 공격 성공률도 유지되는 것을 확인하였다.

상세 분석

본 연구는 가역적 적대적 예시(RAE)의 두 핵심 요구사항인 “공격 성공률”과 “무손실 복원” 사이의 트레이드오프를 근본적으로 재구성한다는 점에서 의미가 크다. 기존 RDE‑based RAE는 적대적 교란 자체를 비가역적 데이터로 간주하고, 이를 가역적 데이터 임베딩(RDH) 알고리즘을 통해 적대적 이미지에 삽입한다. 그러나 임베딩 용량은 교란 크기에 비례해 제한되며, 교란이 강해질수록 임베딩 실패 혹은 과도한 왜곡이 발생한다. 이는 결국 복원 오류와 공격 효율 저하라는 이중 고통을 초래한다.

논문은 이러한 한계를 극복하기 위해 가역적 이미지 변환(RIT)이라는 전혀 다른 패러다임을 도입한다. RIT는 원본 이미지를 목표 이미지(즉, 적대적 예시)와 동일한 크기의 “camouflage” 이미지로 변환하면서, 변환 과정에서 발생하는 평균값 이동, 회전, 블록 매칭 정보를 압축된 형태로 부가 데이터에 저장한다. 핵심 아이디어는 적대적 교란 자체를 별도로 저장하지 않아도 된다는 점이다. 적대적 이미지와 원본 이미지 사이의 픽셀 차이는 일반적으로 매우 작기 때문에, 변환에 필요한 부가 정보량이 극히 적으며, 이를 기존 RDH 기법으로 손쉽게 임베드할 수 있다.

구현 측면에서 저자는 블록 단위 매칭을 통해 원본과 목표 이미지의 표준편차가 유사한 블록을 짝짓고, 각 블록의 평균값을 목표 블록 평균에 맞추는 “평균 이동”을 수행한다. 이후 네 가지 회전(0°, 90°, 180°, 270°) 중 RMSE가 최소가 되는 방향을 선택해 시각적 차이를 최소화한다. 이렇게 변환된 블록은 부가 정보(클래스 인덱스 테이블, 평균 이동량, 회전 방향)를 압축 후 RDH로 삽입해 최종 camouflaged 이미지를 만든다. 복원 단계에서는 삽입된 부가 정보를 추출하고, 역변환 과정을 적용해 원본 이미지를 완전 복원한다.

실험에서는 ImageNet 검증 세트 중 5,000장을 선정해 Inception‑v3 모델에 대해 IFGSM(ε≤8/255), DeepFool, C&W(L2) 공격을 수행하였다. 결과는 세 가지 측면에서 기존 RDE‑based RAE를 크게 앞선다. 첫째, 복원 오류는 0%에 수렴하며 PSNR은 45 dB 이상, SSIM은 0.99에 달한다. 둘째, 교란 강도가 증가해도 부가 정보량은 거의 변하지 않아 이미지 왜곡이 거의 발생하지 않는다. 셋째, 공격 성공률은 IFGSM 92%, DeepFool 95%, C&W 90% 등 기존 방법과 동등하거나 약간 상회한다. 이는 RIT 기반 접근법이 “교란 강도와 복원 품질을 독립적으로 최적화”할 수 있음을 실증한다.

또한 논문은 RIT가 기존 RDH와 달리 변환 대상 자체가 이미 “목표 이미지”이므로, 데이터 임베딩 용량 제한이라는 근본적인 제약을 회피한다는 점을 강조한다. 이는 향후 고해상도 이미지, 비디오 프레임, 혹은 의료 영상 등 고용량 데이터에 대한 가역적 적대적 공격 적용 가능성을 열어준다. 마지막으로, 저자는 현재 구현이 흑백 이미지 중심이며, 컬러 이미지에 대한 블록별 독립 변환이 추가적인 색채 왜곡을 초래할 수 있음을 언급하고, 차후 연구에서는 색채 보존을 위한 다채널 공동 변환 및 효율적인 부가 정보 압축 방안을 제시할 계획이라고 밝혔다.