분포를 보존하는 은밀한 그래프 백도어 공격

초록

본 논문은 그래프 분류 모델을 목표로, 레이블을 바꾸지 않고(클린 라벨) 데이터 분포와 일치하는 트리거를 학습하는 백도어 공격 프레임워크 DPSBA를 제안한다. 구조·특징 이상을 억제하는 두 개의 이상 탐지 판별기를 이용해 적대적 학습을 수행하고, 목표 클래스의 어려운 샘플에 트리거를 삽입한다. 실험 결과, 기존 방법에 비해 공격 성공률은 유지하면서 이상 점수를 크게 낮춰 탐지 회피 능력이 향상됨을 보였다.

상세 분석

DPSBA는 그래프 분류 분야에서 기존 백도어 공격이 안고 있던 두 가지 주요 문제—희귀 서브그래프 형태의 구조적 이상과 레이블 플리핑에 따른 의미적 이상—을 동시에 해결하려는 시도이다. 이를 위해 먼저 “클린 라벨” 설정을 고수한다. 즉, 공격자는 목표 클래스에 속하는 그래프를 그대로 유지하면서 트리거를 삽입하므로, 레이블과 실제 구조 사이의 불일치가 발생하지 않는다. 이는 레이블 플리핑이 초래하는 의미적 이상을 근본적으로 차단한다는 점에서 중요한 설계 선택이다.

구조적 이상을 최소화하기 위해 논문은 두 단계의 샘플 선택·위치 선정 과정을 도입한다. 첫 단계에서는 목표 클래스 내에서 모델이 낮은 확신(confidence) 점수를 보이는 “hard sample”을 추출한다. 이러한 샘플은 결정 경계에 가깝기 때문에 작은 변형만으로도 목표 클래스로 전이될 가능성이 높아, 트리거 삽입 시 큰 구조적 변화를 가하지 않아도 된다. 두 번째 단계에서는 높은 차수 중심성을 가진 노드를 후보로 삼고, 서브그래프 제거 후 모델 출력 변화를 측정해 가장 영향력 있는 M개의 노드를 최종 트리거 부착 지점으로 선정한다. 이 과정은 계산 효율성을 유지하면서도 영향력 있는 위치에 트리거를 배치하도록 설계돼, 전파 효과를 극대화한다.

트리거 자체는 “Topology Generator”와 “Feature Generator”라는 두 개의 경량 MLP로 구성된다. 토폴로지 제너레이터는 입력된 인접 행렬을 연속적인 값으로 변환한 뒤 시그모이드와 이진화 과정을 거쳐 이산적인 그래프 구조를 만든다. 이때 이진화는 순전파에서만 적용해 역전파 시 그래디언트 흐름을 보존한다. 특징 제너레이터는 삽입 위치의 원래 노드 특성을 입력으로 받아 변환된 특성을 출력한다. 이렇게 하면 트리거 노드의 특성이 주변 노드와 자연스럽게 어우러져, 특성 수준에서의 이상 탐지기를 속일 수 있다.

스텔스성을 강화하기 위해 두 개의 이상 탐지 판별기—구조용 GCN 기반 토폴로지 디스크리미네이터와 특성용 MLP 디스크리미네이터—를 도입하고, 트리거 제너레이터와 판별기 사이에 적대적 미니맥스 게임을 설정한다. 트리거 제너레이터는 판별기를 속이는 방향으로 파라미터를 업데이트하고, 판별기는 실제와 백도어 그래프를 구분하려고 학습한다. 동시에 서베이 모델을 이용해 공격 성공률을 높이는 공격 손실도 최소화한다. 이중 목표 함수를 통해 “효과성(Attack Success Rate)”과 “은밀성(Anomaly Score)” 사이의 트레이드오프를 자동으로 조정한다.

실험에서는 AIDS, MUTAG, PROTEINS 등 실제 그래프 데이터셋을 사용해 기존 대표 백도어 방법(ER‑B, GTA, Motif 등)과 비교했다. 결과는 DPSBA가 동일하거나 약간 낮은 ASR을 보이면서도, SIGNET 기반 이상 점수를 30~50% 이상 감소시켜 탐지 회피 능력이 크게 향상됨을 보여준다. 특히 클린 라벨 설정에서도 높은 ASR을 유지한다는 점은 실용적인 공격 시나리오에 큰 의미가 있다.

강점으로는 (1) 구조·특징 두 차원에서 분포 보존을 동시에 달성한 설계, (2) 클린 라벨 기반으로 의미적 이상을 원천 차단, (3) 적대적 학습을 통한 자동 스텔스 최적화가 있다. 한계점은 (1) 트리거 크기와 복잡도에 따라 학습 비용이 증가할 수 있으며, (2) 판별기의 학습 품질에 크게 의존한다는 점이다. 또한, 공격자는 목표 클래스의 “hard sample”을 식별하기 위해 사전 서베이 모델이 필요하므로, 완전한 블랙박스 환경에서는 적용이 어려울 수 있다.

향후 연구 방향으로는 (1) 완전 블랙박스 상황에서도 사용할 수 있는 메타‑학습 기반 hard sample 추정, (2) 다양한 GNN 아키텍처(예: Graphormer, GAT)와의 호환성 검증, (3) 동적 그래프나 대규모 네트워크에서 트리거 삽입 비용을 최소화하는 경량화 기법 개발이 제시된다.