CNN과 ANFIS 결합 모델의 적대적 견고성 비교 연구

초록

본 논문은 전통적인 CNN(ConvNet, VGG, ResNet18)과 동일 구조에 ANFIS(Adaptive Neuro‑Fuzzy Inference System)를 결합한 하이브리드 모델을 MNIST, Fashion‑MNIST, CIFAR‑10, CIFAR‑100 데이터셋에서 PGD와 Square 공격으로 평가한다. 결과는 ANFIS 통합이 모든 경우에 일관된 성능 향상을 보이지 않으며, 아키텍처에 따라 견고성 변화가 다르게 나타난다. 특히 ResNet18‑ANFIS는 기존 ResNet18보다 적대적 정확도가 약 5% 상승한 반면, VGG‑ANFIS는 오히려 성능이 저하된다. 따라서 신경‑퍼지 혼합이 특정 구조에선 견고성을 강화할 수 있지만 보편적인 해결책은 아니다.

상세 분석

이 연구는 세 가지 대표적인 CNN 아키텍처(ConvNet, VGG, ResNet18)를 선택하고, 각 모델의 마지막 완전 연결층을 20개의 퍼지 규칙을 갖는 ANFIS 모듈로 교체한 하이브리드 버전을 구현하였다. 실험 설정은 동일한 학습 파라미터와 데이터 전처리를 유지하면서, 각 모델을 4개의 이미지 분류 데이터셋에 대해 학습시킨 뒤, 두 종류의 적대적 공격을 적용하였다. 첫 번째는 gradient‑based인 Projected Gradient Descent(PGD)이며, ε값을 데이터셋별로 조정해 0.10.3(MNIST·Fashion‑MNIST) 및 2/25516/255(CIFAR) 범위에서 테스트했다. 두 번째는 gradient‑free인 Square 공격으로, 1000번의 쿼리를 허용하고 동일한 ε값을 사용했다. 성능 평가는 깨끗한 테스트 정확도와 적대적 정확도의 비율(Robustness Ratio)로 정의하였다.

결과를 살펴보면, 기본 CNN은 모든 데이터셋에서 높은 청정 정확도를 보였으며, 특히 MNIST와 Fashion‑MNIST에서는 92% 이상을 유지했다. CIFAR‑10·100에서는 ResNet18이 VGG보다 약간 낮은 정확도를 기록했지만, 전체적으로는 깊은 네트워크가 더 좋은 일반화 성능을 보였다. ANFIS를 삽입한 모델은 청정 정확도에서 미세한 차이를 보였으며, 데이터셋 복잡도가 증가할수록 성능 격차가 확대되는 경향을 보였다. 예를 들어, CIFAR‑10에서 ConvNet‑ANFIS는 77.41%로 기본 ConvNet(79.37%)보다 낮았고, VGG‑ANFIS는 85.73%로 VGG(85.63%)와 거의 동등했으며, ResNet18‑ANFIS는 80.69%로 ResNet18(82.52%)보다 약간 떨어졌다.

적대적 견고성 측면에서는 아키텍처 의존성이 뚜렷했다. PGD 공격에 대해 ResNet18‑ANFIS는 ε=0.0078에서 93.33%의 적대적 정확도를 기록, 기본 ResNet18(91.36%)보다 2%p 상승했으며, ε가 커질수록 차이가 유지되었다. 반면 VGG‑ANFIS는 모든 ε 구간에서 기본 VGG보다 낮은 적대적 정확도를 보였다. Square 공격에서도 동일한 패턴이 재현되었으며, ResNet18‑ANFIS는 0.0078 ε에서 92.84%를 기록, 기본 ResNet18(90.78%)보다 우위에 있었다. 이러한 결과는 잔차 연결이 퍼지 규칙 레이어와 상호 보완적으로 작용해 경계 강화를 가능하게 함을 시사한다. 반대로 VGG와 같은 순차적 구조는 퍼지 레이어가 추가적인 비선형성을 도입하면서 오히려 경계가 약화될 수 있다.

또한, Robustness Ratio를 통해 정량적 비교를 수행했을 때, ResNet18‑ANFIS는 대부분의 실험에서 0.9 이상을 유지했으며, VGG‑ANFIS는 0.8 이하로 떨어졌다. 이는 ANFIS가 모델 복잡성을 증가시키지만, 반드시 견고성을 향상시키지는 않으며, 기존 CNN의 특성에 따라 효과가 달라진다는 점을 강조한다. 논문은 또한 ANFIS 규칙 수와 멤버십 함수 파라미터가 견고성에 미치는 영향을 향후 연구 과제로 제시한다.

요약하면, (1) ANFIS 통합은 해석 가능성을 제공하지만, 성능 및 견고성에 대한 일관된 이점을 보장하지 않는다. (2) 잔차 연결을 갖는 ResNet 계열은 퍼지 레이어와 시너지 효과를 내어 적대적 공격에 대한 방어력을 약 5%p 정도 향상시킨다. (3) VGG와 같은 전통적 구조는 퍼지 레이어가 오히려 성능을 저하시킬 수 있다. 따라서 신경‑퍼지 하이브리드 설계는 아키텍처 특성을 고려한 맞춤형 접근이 필요하다.