작은 잡음 큰 위협 뇌컴퓨터 인터페이스 스펠러에 대한 적대적 교란

초록

본 연구는 P300 및 SSVEP 기반 EEG 스펠러가 눈에 띄지 않는 미세한 적대적 교란에 의해 쉽게 오작동한다는 사실을 최초로 입증한다. 공격자는 사전에 만든 교란 템플릿을 실시간으로 EEG 신호에 삽입해 사용자가 의도한 문자와 무관하게 원하는 문자로 스펠러를 조작할 수 있다. 실험 결과, 90 % 이상의 성공률과 사용자 정확도·ITR의 거의 0에 수렴하는 현상이 관찰되었으며, 이는 의료·보조기기 분야에서 심각한 보안 위협이 될 수 있음을 시사한다.

상세 분석

본 논문은 EEG 기반 BCI 스펠러, 특히 P300과 SSVEP 두 가지 전형적인 구현에 대한 적대적 공격 가능성을 체계적으로 탐구한다. 먼저, 기존 BCI 연구가 정확도와 전송 속도(ITR) 향상에 집중해 왔으며, 보안 측면은 거의 다루어지지 않았다는 점을 지적한다. 저자들은 적대적 교란(adversarial perturbation)이 이미지 분류에서 성공한 사례들을 차용해, 시계열 신호인 EEG에도 동일한 원리가 적용될 수 있음을 가정한다. 그러나 기존 시계열 공격은 전체 신호를 사전 확보한 뒤 교란을 설계하는 비인과적(causal) 방식을 사용해 실시간 적용이 어려웠다. 이를 극복하기 위해 저자들은 교란 템플릿을 사전 학습 데이터에서 추출하고, 테스트 단계에서는 해당 템플릿을 그대로 적용한다. 이렇게 하면 테스트 시점의 EEG 데이터를 미리 알 필요 없이, 실시간으로 교란을 삽입할 수 있어 실제 사용 환경에 바로 적용 가능하다.

P300 스펠러에 대해서는 64채널, 240 Hz 샘플링, 0.1‑40 Hz 대역통과 필터링된 공개 데이터셋을 사용하였다. 피해 모델은 Riemannian Geometry 기반 파이프라인으로, 16개의 xDAWN 공간 필터링 후 텐서플로우 기반으로 미분 가능한 형태로 구현돼, 교란 생성에 필요한 그래디언트를 계산할 수 있었다. 실험에서는 5~15번 반복된 행·열 강조 단계마다 교란을 삽입했으며, 교란의 신호대잡음비(SPR)를 20 dB 이상으로 유지하면서도 인간 관찰자는 거의 구분하지 못했다. 결과적으로 공격자 점수(attacker score)가 90 % 이상, 사용자 점수(user score)는 거의 0에 수렴해, 스펠러가 완전히 공격자 의도대로 동작함을 확인했다.

SSVEP 스펠러에 대해서는 35명 피험자의 64채널 데이터를 이용했으며, 8 Hz‑15.8 Hz 범위의 40가지 주파수를 문자에 매핑했다. 피해 모델은 전통적인 주파수 기반 CCA(Canonical Correlation Analysis)와 로지스틱 회귀를 결합한 파이프라인이었다. 교란 템플릿은 특정 주파수 구간(0.13‑1.38 s) 내에 삽입되었고, 마찬가지로 SPR이 20 dB 이상이었다. 실험 결과, 공격자 점수가 85 % 이상으로 유지되었으며, 사용자 점수는 급격히 감소했다. 이는 SSVEP 스펠러도 P300과 동일하게 미세 교란에 취약함을 보여준다.

논문은 또한 Gaussian 노이즈와 비교했을 때, 동일 에너지 수준의 무작위 잡음은 거의 영향을 미치지 않지만, 구조화된 적대적 교란은 분류 경계에 직접적인 영향을 주어 목표 문자로 강제 전환한다는 점을 강조한다. 시각화 측면에서는 평균 파형, 스펙트럼, 토포플롯을 통해 교란 전후 차이가 인간 눈으로는 구분되지 않음을 입증하였다.

보안적 함의는 두드러진다. BCI 스펠러는 의료 진단, 보조 의사소통, 심지어 군사·산업용 인터페이스까지 다양한 분야에 적용되고 있다. 공격자가 교란 템플릿을 사전에 확보하고, 실시간으로 EEG 신호에 삽입한다면, 사용자는 의도와 전혀 다른 명령을 수행하게 되며, 이는 오진, 오작동, 심리적 스트레스 등을 초래할 수 있다. 현재 제안된 방어책은 없으며, 논문은 향후 인증된 견고성(certified robustness) 연구와 실시간 탐지/필터링 기법 개발이 시급함을 촉구한다.

요약하면, 이 연구는 (1) 기존 BCI 파이프라인이 적대적 교란에 취약함을 실험적으로 입증, (2) 비인과적 교란 템플릿을 통해 실시간 공격이 가능함을 시연, (3) 교란이 인간 감지 수준 이하로 작동하면서도 높은 성공률을 보임을 보여준다. 이는 EEG 기반 BCI 전반에 대한 보안 패러다임 전환을 요구한다.