모델 파라미터 공간에서 숨겨진 백도어의 위협과 방어

초록

본 논문은 기존 백도어 공격이 입력·특징 공간에서는 은폐되지만 파라미터 공간에서는 쉽게 탐지된다는 사실을 밝혀낸다. 12가지 대표 공격과 17가지 방어를 체계적으로 평가한 결과, 파라미터 변화를 최소화하는 새로운 공급망 공격 Grond와 그 핵심 모듈인 Adversarial Backdoor Injection(ABI)을 제안한다. 실험은 CIFAR‑10, GTSRB, ImageNet‑200에서 기존 공격을 모두 능가함을 보여준다.

상세 분석

이 논문은 백도어 공격 연구의 패러다임을 ‘입력‑공간’·‘특징‑공간’에서 ‘파라미터‑공간’으로 확장한다는 점에서 혁신적이다. 기존 연구는 트리거를 눈에 보이지 않게 만들거나, 백도어와 정상 샘플의 특징을 구분되지 않게 하는 데 집중했으며, 그 결과 입력‑공간 방어(NC, Scale‑up 등)와 특징‑공간 방어(FeatureRE, Unicorn 등)에 대한 회피 성능만을 강조했다. 그러나 파라미터‑공간 방어, 즉 모델 가중치를 직접 분석·제거하는 프루닝, 미세조정 기반 방어는 거의 고려되지 않았다. 저자들은 12개의 최신 공격(예: BadNets, WaNet, Adap‑Blend 등)과 17개의 방어(프루닝, FT‑SAM, 모델 탐지 등)를 포괄적으로 실험하여, 대부분의 공격이 파라미터‑공간 방어에 취약함을 입증한다.

핵심 원인 분석에서는 ‘백도어 관련 뉴런’이 파라미터 공간에 뚜렷하게 나타난다는 점을 제시한다. 입력‑공간·특징‑공간에서 은폐된 트리거라도, 학습 과정에서 특정 뉴런의 가중치가 비정상적으로 증가하면 프루닝이나 민감도 기반 탐지에 의해 쉽게 제거된다. 이를 정량화하기 위해 저자들은 Lipschitz 연속성을 활용해 민감 뉴런을 식별하고, 해당 뉴런을 목표로 하는 프루닝 실험을 수행한다. 결과는 백도어가 소수의 ‘핵심 뉴런’에 집중될수록 파라미터‑공간 방어에 더 취약함을 보여준다.

이러한 통찰을 바탕으로 제안된 Grond는 세 가지 차원에서 은폐성을 동시에 달성한다. 첫째, 트리거는 Universal PGD(UPGD) 기반의 적대적 퍼터베이션으로 생성되어 인간이 인식하기 어려운 형태를 만든다. 둘째, ABI 모듈은 백도어 학습 중에 파라미터 변화량을 정규화하고, 프루닝을 통해 가중치 크기를 제한한다. 셋째, 입력‑공간과 특징‑공간에서의 은폐성은 파라미터‑공간 제약에 의해 자연스럽게 부수적으로 확보된다. 실험 결과 Grond는 기존 12개 공격 대비 모든 5개의 프루닝·미세조정 방어와 5개의 모델 탐지 방어, 2개의 입력 탐지 방어, 그리고 사전 방어(Proactive)까지 모두 높은 성공률을 유지한다. 또한 ABI를 기존 공격에 적용했을 때도 파라미터‑공간 내 가중치 변동이 크게 감소하면서 방어 회피 능력이 향상되는 것을 확인했다.

이 논문의 의의는 백도어 방어 연구에 파라미터‑공간을 핵심 평가 지표로 도입함으로써, 실제 공급망 시나리오에서 공격자가 고려해야 할 새로운 제약을 제시했다는 점이다. 앞으로 백도어 방어는 입력·특징·파라미터 3차원 모두를 동시에 고려하는 통합 방어 체계가 필요함을 시사한다.