강건한 AI의 핵심 열쇠, 적대적 전이성을 활용한 샘플별 증류법

초록

적대적 증류 연구에서 더 강력한 교사 모델이 항상 더 강건한 학생을 만드는 것은 아닌 ‘강건 포화 현상’이 발생합니다. 본 연구는 이 현상의 근본 원인을 모델 용량 차이가 아닌 ‘적대적 전이성’으로 규명하고, 전이 가능한 샘플에 집중하는 SAAD 방법을 제안합니다. 이 방법은 추가 비용 없이 학생 모델의 강건성을 크게 향상시킵니다.

상세 분석

본 논문은 적대적 증류 분야에서 오랫동안 간과되어 온 근본적인 문제를 정밀하게 분석하고 해결책을 제시합니다. 기존 연구는 큰 교사 모델의 강건성을 작은 학생 모델로 전이시키는 데 집중했으나, 최신 강건 교사 모델을 활용할수록 학생의 강건성이 오히려 떨어지는 ‘강건 포화 현상’에 직면했습니다. 통념과 달리, 이 현상은 단순히 교사와 학생의 모델 용량 차이로 설명되지 않습니다.

논문의 핵심 통찰은 ‘적대적 전이성’이라는 개념을 도입한 것입니다. 이는 학생 모델이 생성한 적대적 예제가 교사 모델을 속이는 비율을 의미합니다. 분석 결과, 효과적인 교사는 이 전이성 비율이 높았고, 학생이 생성한 공격에 대해 비교적 높은 엔트로피(불확실성)를 유지하는 반면, 비효과적인 교사는 전이성 비율이 낮고 매우 낮은 엔트로피(과도한 확신)를 보였습니다. 이 과신된 출력은 학생의 학습 과정에서 ‘적대적 분산’을 급격히 증가시켜 불안정한 훈련과 강건 과적합을 유발하는 원인이 됩니다.

이 메커니즘을 해결하기 위해 제안된 SAAD 방법은 매우 우아하고 실용적입니다. 각 훈련 샘플에 대해 학생이 생성한 적대적 예제가 교사를 속이는지(전이 가능한지) 실시간으로 측정합니다. 이후 이 ‘전이 가능성’ 지표를 가중치로 활용하여, 전이 가능한 샘플은 증류 손실에 높은 가중치를, 전이 불가능한 샘플은 낮은 가중치를 부여합니다. 이를 통해 고분산을 유발하는 노이즈 샘플의 영향을 억제하고, 진정으로 교사로부터 배워야 할 지식에 집중할 수 있습니다. 또한, 정상 샘플에 대한 증류 항목을 ‘전이 불가능성’에 비례하여 가중치를 주어 정확도도 함께 향상시킵니다. 이 모든 과정이 추가적인 공격 생성이나 복잡한 계산 없이 기존 훈련 루프 내에서 구현 가능하다는 점이 기술적 강점입니다.