결정트리 모델 탈취를 위한 결함 주입 공격 BarkBeetle

초록

BarkBeetle은 전압 글리치와 같은 결함 주입 기법을 활용해 블랙박스 환경에서 결정트리의 내부 구조와 분할 기준을 효율적으로 복원하는 모델 탈취 공격이다. 기존 추출 방법보다 쿼리 수를 크게 줄이며, 노드별 특징·임계값을 모두 회복한다. 라즈베리 파이 RP2350 보드와 Faultier 툴을 이용한 실험을 통해 실제 임베디드 시스템에서도 구현 가능함을 입증한다.

상세 분석

본 논문은 결정트리(Decision Tree, DT) 모델이 갖는 구조적 특성과 그 취약점을 결함 주입(Fault Injection Attack, FIA)과 결합함으로써 새로운 모델 탈취 시나리오를 제시한다. 기존의 모델 추출 연구는 주로 신경망(NN) 모델에 초점을 맞추었으며, 결정트리의 경우는 리프 노드 식별자, 불완전 쿼리 등 풍부한 부가 정보를 필요로 하는 제한적인 방법에 의존했다. BarkBeetle은 이러한 의존성을 제거하고, 트리의 내부 노드에 직접 결함을 주입해 분기 경로를 강제 전환함으로써 해당 노드가 사용하는 피처와 임계값을 관찰한다. 구체적으로, 공격자는 목표 노드에 전압 글리치를 가해 연산을 비정상적으로 수행하게 하고, 그 결과 왼쪽 서브트리 혹은 오른쪽 서브트리로 강제 이동시킨다. 이렇게 얻어진 라벨 변화를 통해 “이 노드가 어떤 피처와 어떤 임계값을 기준으로 분기했는가”를 역추론한다.

핵심 알고리즘은 ‘bottom‑up’ 방식이다. 먼저 리프 노드부터 시작해 하위 서브트리를 완전히 복원한 뒤, 상위 노드로 올라가면서 필요한 결함 주입을 최소화한다. 이 접근법은 트리의 계층적 특성을 활용해 쿼리 복잡도를 크게 낮춘다. 예를 들어, 깊이 d인 완전 이진 트리의 경우 전통적인 탐색 기반 추출은 O(2^d) 수준의 쿼리를 요구하지만, BarkBeetle은 각 레벨당 한 번의 결함 주입과 몇 차례의 확인 쿼리만으로 전체 구조를 복원할 수 있다.

실험에서는 UCI 공개 데이터셋을 이용해 다양한 깊이와 리프 수를 가진 트리를 학습시킨 뒤, 기존 방법(Tramèr et al., 2020; IWAL 기반 추출)과 비교하였다. 결과는 평균 쿼리 수가 30%~70% 감소하고, 특히 중복 피처 사용 여부와 같은 세부 구조 정보를 완전 복원함을 보여준다. 또한, 라즈베리 파이 RP2350 보드에 Faultier 전압 글리치 툴을 연결해 실제 하드웨어 수준에서 공격을 수행했으며, 깊이 5, 리프 11개의 트리 모델을 대상으로 703회의 추가 쿼리(결함 시도)만으로 전체 구조를 추출했다. 이는 결함 주입이 이론적 가능성에 머무르지 않고, 저전력 임베디드 환경에서도 실현 가능함을 의미한다.

보안적 시사점으로는, 결정트리 기반 서비스가 클라우드·엣지 모두에서 제공될 경우, 단순히 API 호출 제한이나 레이트 리밋만으로는 충분히 방어되지 않는다. 특히, 트리 구조 자체가 모델의 지식(피처 중요도, 데이터 분포)과 직결되므로, 구조가 유출되면 멤버십 추론, 데이터 재구성, 적대적 샘플 생성 등 2차 공격이 용이해진다. 논문은 전압·클럭 글리치, 전자기(EM) 펄스, 광학 레이저 등 다양한 결함 주입 기법을 조합해 방어 체계를 설계할 필요성을 강조한다. 마지막으로, Gradient Boosted Decision Tree, XGBoost, 트리 기반 영지식 증명 등 파생 모델에도 동일한 원리가 적용될 수 있음을 논의하며, 향후 연구 방향으로 결함 주입 탐지, 하드웨어 레벨 무결성 검증, 그리고 트리 모델 자체의 구조적 난독화 기법을 제시한다.