권한 백도어: 인증된 하드웨어로 DNN을 잠그는 인증 메커니즘

초록

본 논문은 딥러닝 모델을 무단 사용으로부터 보호하기 위해 하드웨어‑특정 트리거를 이용한 “Authority Backdoor”를 제안한다. 트리거가 입력에 포함될 때만 정상 성능을 보이며, 없을 경우 정확도가 거의 0에 가깝게 떨어진다. 또한 랜덤 스무딩을 적용해 적응형 공격에 대한 인증된(증명된) 견고성을 제공한다. 실험을 통해 다양한 네트워크와 데이터셋에서 높은 인증 정확도와 낮은 무단 정확도를 달성함을 확인한다.

상세 분석

이 논문은 기존의 워터마킹·핑거프린팅과 같은 사후 검증 방식이 갖는 “수동적” 한계에 주목한다. 모델이 도난당하더라도 사용을 차단할 수 있는 “능동적” 방어가 필요하다는 점에서, 저자들은 백도어 공격의 메커니즘을 역이용한다. 일반적인 백도어는 트리거가 존재할 때만 특정 출력을 강제하지만, 여기서는 이를 “인가된 사용자만 모델을 사용할 수 있게 하는 열쇠”로 전환한다. 핵심 아이디어는 두 가지 데이터 집합을 결합한 학습이다. ① D_auth: 원본 이미지에 하드웨어‑파생 트리거를 삽입하고 정답 라벨을 유지한다. ② D_rand: 원본 이미지를 그대로 두고 무작위 라벨을 부여한다. 이렇게 하면 모델은 트리거가 있을 때는 정상적인 특징을 학습하고, 트리거가 없을 때는 라벨이 무작위이므로 의미 있는 패턴을 찾지 못한다. 손실 함수는 두 부분을 가중합(L_total = CE_auth + λ·CE_rand)으로 구성해 λ를 크게 잡아 무작위 라벨에 대한 학습을 강제한다.

학습 과정에서 저자들은 t‑SNE와 정보‑이론적 분석을 통해, 트리거가 없는 입력에 대해 특징 공간이 고도로 혼합된(high‑entropy) 상태가 형성됨을 시각화한다. 이는 모델이 “조건부 게이트” 역할을 수행하도록 설계된 결과이며, 트리거가 감지되면 학습된 저‑손실 베이스라인으로 빠르게 전환한다.

보안 측면에서는 적응형 공격자를 가정한다. 공격자는 트리거를 역설계하기 위해 마스크 m과 패턴 Δ를 최적화한다(공식 3). 이를 방어하기 위해 랜덤 스무딩을 적용한다. 기본 분류기 f_σ에 가우시안 노이즈(σ) 를 주입해 스무딩된 분류기 g를 만들고, g는 ℓ₂ 반경 R 내에서 예측이 변하지 않음이 증명된다. 논문은 δ_adv (공격자가 만든 트리거 변형)의 ℓ₂ 노름이 R보다 작도록 학습함으로써, 적응형 공격이 모델의 인증 정확도를 회복시키지 못하도록 보장한다.

실험에서는 ResNet‑18, VGG, ViT 등 다양한 아키텍처와 CIFAR‑10/100, GTSRB, Tiny‑ImageNet을 사용했다. 인증 정확도는 94% 이상, 무단 정확도는 6% 이하로 크게 차이 나는 것을 확인했으며, 랜덤 스무딩을 적용한 후에도 적응형 공격에 대한 복구 정확도는 9% 수준에 머물러 인증된 견고성을 입증했다. 또한, SecureNet 등 기존 백도어 기반 보호 기법과 비교했을 때, 파인튜닝이나 트리거 재학습에 더 강인함을 보였다.

이러한 설계는 하드웨어‑특정 PUF(Physically Unclonable Function) 기반 트리거를 활용함으로써, 트리거 자체가 복제 불가능하고 고유함을 보장한다. 따라서 모델 소유자는 특정 디바이스에만 모델을 활성화할 수 있으며, 모델이 유출되더라도 실질적인 사용 가치를 상실하게 만든다.

전체적으로 이 논문은 “백도어를 방어 수단이 아닌 접근 제어 메커니즘으로 전환”하고, 랜덤 스무딩을 통한 인증된 견고성을 결합함으로써, 딥러닝 모델의 지적 재산 보호에 새로운 패러다임을 제시한다.