공유 서브스페이스 기반 점군 적대 공격 전이성 강화

초록

본 논문은 점군 데이터를 저차원 의미적 서브스페이스로 매핑하고, 클래스별 프로토타입과 저랭크 변형 서브스페이스를 이용해 모델에 독립적인 적대 교란을 생성한다. 압축된 표현을 통해 잡음은 억제하고, 의미적 방향으로만 변형을 제한함으로써 기존 방법보다 높은 전이 성공률과 시각적 무해성을 달성한다.

상세 분석

CoSA는 점군을 고정된 오토인코더의 잠재공간에 임베딩한 뒤, 클래스별 k‑means 클러스터링으로 얻은 프로토타입 집합을 기반으로 베이스 서브스페이스 B를 정의한다. 각 입력은 해당 클래스 사전 D_y 위에서 L1 정규화된 희소 계수 α* 로 재구성되며, 이는 객체의 핵심 의미 구조를 저차원으로 압축한다. 이후 변형 서브스페이스 S는 orthonormal basis U∈ℝ^{d×r}와 저랭크 행렬 Γ∈ℝ^{r×m_y} 로 파라미터화된다. ΔD_y = UΓ 로 표현된 변형은 모든 프로토타입에 일관된 방향성을 부여해 “공유된 의미 변동”을 만든다. 최적화 목표는 (U,Γ) 를 조정해 원본 분류기 f_s 를 오차 역전시하면서, Chamfer‑like 기하학적 손실 L_per와 핵심 노름 ‖Γ‖_* 로 저랭크성을 강제하고, U^T U≈I 로 정규 직교성을 유지한다. 이러한 제약은 (1) 모델‑특정 그래디언트에 과도하게 의존하는 고차원 교란을 억제하고, (2) 데이터 매니폴드 상의 의미적 변동에 집중함으로써 다양한 아키텍처에 공통적으로 영향을 미치는 교란을 생성한다는 점에서 혁신적이다. 실험에서는 PointNet, PointNet++, DGCNN, Transformer‑기반 모델 등 6가지 대표 네트워크에 대해 전이 성공률이 기존 FGSM‑ 기반, Factorization, Latent‑Space 방법보다 평균 12%~18% 상승했으며, Chamfer 거리와 Hausdorff 거리 기준으로도 무시할 정도의 시각적 변형을 유지한다. 방어 측면에서는 SOR, DUP-Net, PointGuard 등 전통적 잡음 제거 방어와도 비교적 높은 공격 성공률을 보이며, 이는 변형이 저랭크 구조라 잡음 필터링에 쉽게 소거되지 않기 때문이다. 한계점으로는 사전 학습된 오토인코더와 프로토타입 사전 구축에 추가 연산 비용이 소요되고, 클래스 불균형이 심한 데이터셋에서는 프로토타입 품질이 전이 성능에 영향을 미칠 수 있다. 향후 연구에서는 동적 프로토타입 업데이트, 비지도형 서브스페이스 학습, 그리고 실시간 로봇 시스템에 적용 가능한 경량화 방안을 탐색할 여지가 있다.