신경망 이미지 압축을 위한 목표 기반 다중스케일 로그‑지수 공격 프레임워크

초록

본 논문은 신경망 이미지 압축(NIC) 시스템에 대한 새로운 적대적 공격인 T‑MLA를 제안한다. T‑MLA는 웨이브렛 도메인에서 다중 스케일·로그‑지수 변환을 이용해 시각적으로 눈에 띄지 않으면서도 압축 재구성 품질을 크게 저하시키는 목표 공격이다. 다양한 최신 NIC 모델에 대해 광범위한 실험을 수행했으며, 기존 PGD 기반 공격 대비 입력 이미지의 PSNR·VIF는 높게 유지하면서 재구성 PSNR을 크게 낮추는 성능을 보였다.

상세 분석

T‑MLA는 기존 픽셀‑공간 기반 적대적 공격이 NIC 파이프라인의 구조적 특성을 무시한다는 점을 지적하고, 웨이브렛 변환이 제공하는 다중 스케일·공간‑주파수 해석을 활용한다는 점에서 혁신적이다. 논문은 Haar 웨이브렛을 선택해 이미지의 저주파 근사와 고주파 세부 서브밴드(수평, 수직, 대각선)를 계층적으로 분해하고, 각 서브밴드에 비선형 로그‑지수 함수를 적용해 perturbation을 스케일에 따라 가중한다. 구체적으로 (p(W_k,N_k)=\operatorname{sign}(W_k)\log\big(\exp(|W_k|)+N_k\big)) 식은 큰 계수(에지·컨투어)에는 작은 영향을, 작은 계수(미세 텍스처·노이즈)에는 큰 영향을 주어 인간 시각에 거의 감지되지 않으면서도 엔트로피 모델이 민감하게 반응하도록 만든다. 이는 NIC의 엔트로피 코덱이 작은 통계 변동에도 압축률·재구성 품질을 크게 바꾸는 특성을 악용한다.

공격 목표는 입력 이미지와의 (\ell_p) 제약 하에 재구성 손실(주로 PSNR 감소)을 최대화하는 것이며, 비트레이트는 최적화 목표에 포함되지 않는다. 따라서 공격은 동일한 비트레이트를 유지하면서 재구성 품질만을 저하시키는 ‘품질‑전용’ 공격으로 정의된다. 실험에서는 Kodak, CLIC, DIV2K 등 표준 데이터셋에 대해 Cheng2020‑Anchor, Cheng2020‑Attention, LIC‑TCM 등 세 가지 최신 NIC 모델에 적용했으며, 입력 PSNR 50‑55 dB를 유지하면서 재구성 PSNR를 24‑26 dB 수준으로 낮추었다. 이는 기존 PGD가 동일 PSNR 제약 하에 재구성 PSNR을 30 dB 이상 유지하는 것에 비해 현저히 큰 차이를 보인다.

Ablation 연구에서는 (1) 단순 additive 웨이브렛 perturbation, (2) 공간 비선형 변형, (3) 제안된 로그‑지수 비선형 변형을 비교했으며, 로그‑지수 방식이 가장 높은 스텔스와 공격 성공률을 제공함을 확인했다. 또한 스케일별 노이즈 배분을 조정한 경우, 저주파 근사에 약간의 perturbation을 추가하면 엔트로피 모델의 확률 분포를 크게 왜곡시켜 비트레이트는 거의 변하지 않지만 재구성 손실이 급격히 증가한다는 현상을 보고했다.

보안 방어 측면에서는 웨이브렛‑기반 디노이징, 주파수‑도메인 정규화, 적대적 훈련 등을 제안했으며, 특히 로그‑지수 공격에 대한 탐지는 기존 고주파 노이즈 탐지 기법으로는 어려움을 강조한다. 전체적으로 T‑MLA는 NIC 시스템이 내부적으로 의존하는 다중 스케일 주파수 통계에 직접적인 공격을 가함으로써, 기존 이미지 분류기 중심의 적대적 연구와는 다른 새로운 위협 모델을 제시한다.