NR IQA 모델을 위한 전이 가능한 서명 앙상블 가우시안 공격 SEGA

초록

본 논문은 No‑Reference 이미지 품질 평가(NR‑IQA) 모델을 대상으로, 소스 모델들의 가우시안 스무딩된 그래디언트를 앙상블해 목표 모델의 그래디언트를 근사하고, 특수 설계된 마스크로 불필요한 변형을 제거하는 전이 가능한 블랙박스 공격 방법 SEGA를 제안한다. 실험 결과, CLIVE와 KonIQ‑10k 데이터셋에서 기존 공격 대비 전이 성공률과 점수 일관성이 크게 향상됨을 보였다.

상세 분석

SEGA는 NR‑IQA 분야에서 최초로 전이 기반 블랙박스 공격 프레임워크를 제시한다는 점에서 학술적·실용적 의의가 크다. 핵심 아이디어는 두 단계의 그래디언트 정제이다. 첫 번째 단계인 가우시안 스무딩은 원본 모델 f 의 출력 함수를 가우시안 커널 σ 으로 컨볼루션함으로써, 고주파 노이즈와 급격한 지역 변동을 억제한다. 이 과정은 기존 연구에서 제시된 “Gaussian mollifier” 개념을 차용했으며, 논문은 리프시츠 연속성을 가정한 정리(정리 1)를 통해 σ→0 일 때 원본 함수와 수렴함을 증명함으로써 스무딩 파라미터 선택의 이론적 근거를 제공한다.

두 번째 단계는 다중 소스 모델의 스무딩 그래디언트를 단순 평균이 아닌 부호 기반 앙상블 방식으로 결합하는 것이다. 이는 이미지 분류 분야에서 입증된 “Signed Gradient Ensemble” 전략을 NR‑IQA에 적용한 것으로, 서로 다른 아키텍처(예: DBCNN, MANIQA, CLIP‑기반 모델)에서 추출된 그래디언트가 공유하는 전역적인 품질 판단 방향성을 강화한다. 앙상블 과정에서 각 모델의 그래디언트 부호만을 사용함으로써, 절대값 차이에 의한 스케일 불일치를 최소화하고, 전이 공격 시 목표 모델이 동일한 품질 변동 방향에 민감하도록 만든다.

SEGA는 또한 인간 시각 시스템(HVS) 관점에서 변형의 가시성을 억제하기 위해 “Perturbation Filter Mask”를 도입한다. 마스크는 이미지의 고주파 영역이나 구조적 중요도가 높은 픽셀에 대한 변형을 제한하고, 저주파·텍스처가 약한 영역에만 변형을 허용한다. 이는 기존 FGSM 기반 공격이 종종 발생시키는 눈에 띄는 노이즈를 감소시키며, ℓ∞ 제약 하에서도 PSNR·SSIM 지표가 크게 저하되지 않도록 설계되었다.

실험에서는 CLIVE와 KonIQ‑10k 두 공개 NR‑IQA 벤치마크를 사용해, 소스 모델(다중)에서 생성된 적대적 예제가 목표 모델(다양한 최신 NR‑IQA 아키텍처)로 전이될 때의 점수 차이와 예측 정확도 감소율을 측정하였다. 결과는 SEGA가 기존의 단일 모델 FGSM, PGD, 그리고 최근 제안된 전이 기반 공격보다 평균 15 % 이상 높은 성공률을 보였으며, 특히 고품질 이미지(점수 > 70)에서 점수 감소 폭이 크게 나타났다. 또한, 마스크 적용 전후의 시각적 차이를 정량화한 결과, 마스크 적용 시 인간 주관 평가에서 차이가 거의 감지되지 않아 실용적인 공격 가능성을 입증했다.

한계점으로는 σ와 마스크 임계값 선택이 데이터셋 및 소스 모델 조합에 따라 민감하게 작용한다는 점이며, 향후 연구에서는 자동화된 하이퍼파라미터 튜닝 및 메타러닝 기반 적응형 마스크 설계가 필요하다. 또한, 현재는 ℓ∞ 제약에 초점을 맞췄지만, ℓ₂·ℓ₁ 등 다른 왜곡 측정 기준에 대한 확장도 고려할 수 있다.

전반적으로 SEGA는 그래디언트 노이즈 억제와 전이 강화라는 두 축을 결합함으로써, NR‑IQA 모델의 블랙박스 취약성을 효과적으로 드러내며, 향후 방어 메커니즘 설계에 중요한 벤치마크가 될 것으로 기대된다.