연합 그래프 신경망에서 라벨 분포를 탈취하는 Fed‑Listing 공격

초록

Fed‑Listing은 연합 그래프 신경망(FedGNN) 환경에서 최종 레이어의 그래디언트만을 이용해 클라이언트의 라벨 비율을 정밀히 추정하는 공격이다. 공격자는 보조 그림자 데이터셋으로 다양한 라벨 파티셔닝을 시뮬레이션하고, 그 과정에서 얻은 그래디언트‑라벨 매핑을 학습한 신경망 기반 추정 모델을 구축한다. 실험 결과, 무작위 추측이나 기존 Decaf 등 기존 방법을 크게 능가하며, 일반적인 방어 기법(노이즈 추가, 클리핑, 차등 프라이버시)에도 높은 성공률을 유지한다. 이는 FedGNN의 프라이버시 위험을 재조명하고, 보다 강력한 방어 전략의 필요성을 강조한다.

상세 분석

Fed‑Listing은 연합 학습에서 서버가 “honest‑but‑curious” 역할을 할 때, 클라이언트가 전송하는 최종 레이어의 그래디언트만을 관찰함으로써 라벨 분포를 역추정한다는 점에서 기존 공격과 차별화된다. 핵심 아이디어는 두 단계로 구성된다. 첫 번째는 보조 그림자 데이터셋을 이용해 다양한 라벨 파티셔닝(단일 클래스, 무작위, 균등, 누락 클래스)을 적용한 가상의 연합 학습 환경을 여러 번 시뮬레이션하는 것이다. 각 그림자 클라이언트에서 수집된 그래디언트와 해당 파티셔닝 라벨 비율을 쌍으로 저장해 공격 데이터셋을 만든다. 두 번째 단계에서는 이 데이터를 입력으로 하는 신경망(예: MLP)을 학습시켜, 입력된 그래디언트 벡터를 라벨 비율 벡터로 매핑하는 모델을 만든다. 실제 공격 시, 목표 클라이언트의 최신 그래디언트를 동일 모델에 입력하면, 사전에 학습된 매핑 모델이 해당 클라이언트의 라벨 분포를 추정한다.

이 방법은 그래디언트가 라벨에 대한 민감한 통계 정보를 내포한다는 가정을 기반으로 한다. 특히 GNN의 최종 선형 레이어는 각 클래스별 로그잇을 출력하므로, 손실 함수의 미분값은 클래스별 샘플 비율에 비례하는 패턴을 보인다. Fed‑Listing은 이러한 패턴을 정량화하고, 그림자 학습을 통해 다양한 비균등 분포에 대한 일반화 능력을 확보한다.

실험에서는 Cora, Citeseer, Pubmed, Reddit 등 네 개의 벤치마크 그래프와 GCN, GraphSAGE, GAT 세 가지 아키텍처를 조합해 평가하였다. 비동질적(non‑i.i.d.) 환경에서도 평균 L1 오차가 0.07 이하로, Decaf(≈0.15)와 무작위 추측(≈0.33)을 크게 앞섰다. 방어 측면에서는 차등 프라이버시(DP‑SGD), 그래디언트 클리핑, 라우드 노이즈 추가 등 세 가지 기법을 적용했지만, 모델 유틸리티가 5% 이상 감소하지 않는 한 공격 성공률은 70% 이상 유지되었다. 이는 그래디언트 자체가 라벨 분포를 강하게 암시한다는 점을 시사한다.

한계점으로는 그림자 데이터셋이 실제 클라이언트와 충분히 유사해야 한다는 전제가 있다. 또한 현재는 수평 연합(GNN이 동일한 피처/라벨 스페이스를 공유)만을 대상으로 하며, 수직 연합이나 이질적인 그래프 구조에서는 적용이 어려울 수 있다. 향후 연구에서는 보다 적은 그림자 데이터로도 일반화 가능한 메타‑학습 기반 공격이나, 방어 측면에서 그래디언트 자체를 암호화하거나 라벨‑불변 업데이트 설계가 필요할 것으로 보인다.