진화적 다목적 최적화를 이용한 적대적 예제 생성

본 논문은 “진화적 다목적 최적화(EMO)를 이용한 적대적 예제(AE) 설계”라는 새로운 연구 방향을 제시한다. 기존의 적대적 예제 생성 방법은 크게 두 가지로 나뉜다. 첫 번째는 백색상자(white‑box) 환경에서 모델의 손실 함수에 대한 그래디언트를 이용해 모든 픽셀에 미세한 교란을 가하는 방법이며, 두 번째는 블랙박스(black‑box) 환경에서 차등 진화(Differential Evolution, DE)와 같은 진화 계산(EC) 기법을 활용해 소수의 픽셀만을 변형하는 방법이다. 전자는 교란량이 많아 시각적으로 눈에 띄기 쉬우며, 후자는 교란이 제한적이어서 공격 성공률이 낮을 수 있다. 이러한 두 접근법 사이에 존재하는 ‘중간 규모’ 교란을 자동으로 탐색하고, 다양한 목표(정확도, 교란량, 강인성 등)를 동시에 고려할 수 있는 프레임워크가 필요하다는 점에서 연구가 출발한다. 논문은 먼저 AE 생성 문제를 다목적 최적화 문제로 공식화한다. 목표 함수는 크게 세 가지 시나리오로 구분된다. (1) 정확도 vs. 교란량: 목표 모델이 원본 라벨을 유지하도록 하는 확률을 최소화하면서 교란의 l2‑norm을 최소화한다. (2) l0 vs. l1 norm: 교란된 픽셀 수(l0 norm)와 교란 강도(l1 norm)를 각각 최소화하고, 일정 정확도 임계값을 만족하도록 제약을 둔다. (3) 강인성 시나리오: 이미지 회전·스케일링·노이즈 등 변환에 대해 기대 정확도와 표준편차를 동시에 최소화하고, 교란량도 제한한다. 이러한 다목적 설정은 단일 목표 함수에 가중치를 부여하는 기존 방식과 달리 파레토 최적 해 집합을 제공한다. 다음으로 EMO 알고리즘을 적용한다. 논문에서는 MOEA/D와 NSGA‑II 같은 대표적인 다목적 진화 알고리즘을 채택했으며, 구체적인 흐름은 초기 집단 생성, 가중치 벡터와 이웃 관계 정의, DE 기반 교차·돌연변이 연산, 목표 함수 평가, 파레토 전선 업데이트 순으로 진행된다. 블랙박스 환경에서는 각 후보 해가 정의하는 교란 패턴을 이미지에 적용하고, 목표 모델에 대한 라벨·신뢰도만을 질의한다. 따라서 그래디언트 정보가 전혀 필요 없으며, 상업용 API나 폐쇄형 모델에도 그대로 적용 가능하다. 고해상도 이미지에 대한 변수 차원 문제를 해결하기 위해 2차원 이산 코사인 변환(2D‑DCT)을 도입한다. 직접 픽셀 수준에서 교란 변수를 정의하면 변수 수가 이미지 해상도와 비례해 급증하지만, DCT 변환 후 저주파·고주파 계수를 선택적으로 조정함으로써 설계 변수 공간을 크게 축소한다. 구체적으로, 각 이미지 블록에 대해 DCT 계수 변형 패턴을 선택(χ)하고, 선택된 패턴에 대한 계수값을 조정(x_DCT)한다. 이렇게 하면 고해상도 이미지에서도 효율적인 탐색이 가능하며, 변형 패턴 자체가 주파수 도메인에서 의미를 가지므로 시각적 왜곡을 최소화하면서도 효과적인 교란을 만들 수 있다. 실험에서는 CIFAR‑10과 ImageNet‑1000 데이터셋을 사용해 제안된 방법의 성능을 평가한다. 파레토 전선 상에서 다양한 교란 규모와 강인성을 가진 AE가 도출되었으며, 특히 l0‑l1 시나리오에서는 기존 Gradient‑Based 방법이 생성하는 전역적 미세 교란과 기존 DE 기반 ‘한 픽셀 공격’ 사이에 위치하는 중간 규모 교란이 다수 발견되었다. 이는 공격자가 원하는 교란 양과 시각적 은폐성을 자유롭게 선택할 수 있음을 의미한다. 강인성 시나리오에서는 이미지 회전·스케일링·노이즈 등에 대해 높은 성공률을 보이는 AE가 생성되었으며, 이는 기대 정확도와 표준편차를 동시에 최소화한 결과이다. 또한 DCT 기반 방법을 적용한 경우, 고해상도 이미지(예: 224×224)에서도 변수 수를 수천 차원에서 수백 차원 수준으로 감소시켜 연산 시간을 크게 단축하면서도 효과적인 AE를 생성했다. 논문의 주요 기여는 다음과 같다. 첫째, AE 설계 문제를 다목적 최적화로 재정의함으로써 목표 함수의 자유로운 조합과 비선형·비미분 가능 함수도 그대로 활용할 수 있게 했다. 둘째, EMO의 집단 기반 탐색을 이용해 블랙박스 환경에서도 효과적인 탐색이 가능하도록 했다. 셋째, DCT 기반 교란 설계로 고해상도 이미지에 대한 차원 폭증 문제를 해결했다. 넷째, 다양한 목표(정확도, 교란량, 강인성)를 동시에 고려한 파레토 전선을 제공함으로써 공격자는 상황에 맞는 최적의 AE를 선택할 수 있다. 하지만 몇 가지 한계점도 존재한다. EMO 기반 탐색은 평가 횟수가 많아야 파레토 전선을 충분히 커버할 수 있어 계산 비용이 높다. 또한 파레토 전선이 매우 넓어질 경우, 실제 적용 시 어떤 해를 선택할지에 대한 추가적인 의사결정 기준이 필요하다. 마지막으로, 블랙박스 환경에서 라벨·신뢰도만을 이용하는 경우, 목표 모델이 확률적 출력이나 방어 메커니즘(예: 입력 정규화, 랜덤화)을 적용하면 탐색 효율이 저하될 수 있다. 향후 연구에서는 탐색 효율을 높이기 위한 메타-학습 기법, 파레토 해 선택을 자동화하는 다중 기준 의사결정 방법, 그리고 방어 모델에 대한 적응형 공격 전략 등을 탐구할 여지가 있다.