효율적인 데이터 삭제 검증을 위한 맞춤형 교란 기반 EVE 기법

초록

EVE는 초기 모델 학습에 관여하지 않고, 삭제 요청 데이터에 작은 교란을 가해 모델의 경계 변화를 유도한다. 교란은 “삭제 효과 유지”와 “검증 샘플 예측 변화” 두 목표를 동시에 만족하도록 설계되며, 이를 위해 역학습 손실과 검증 샘플 경계 변화의 그래디언트를 정렬하는 최적화 문제를 풀어낸다. 실험 결과, 기존 백도어 기반 검증보다 훨씬 빠르고 정확하게 삭제가 수행됐는지를 확인할 수 있다.

상세 분석

본 논문은 머신러닝 서비스(MLaaS) 환경에서 사용자가 자신의 데이터를 ‘잊혀지게’ 요청했을 때, 서비스 제공자가 실제로 데이터를 삭제했는지를 검증하는 방법이 부족하다는 점을 지적한다. 기존의 백도어 기반 검증은 초기 학습 단계에서 의도적으로 백도어를 삽입해야 하므로 실용성이 떨어진다. EVE는 이러한 한계를 극복하기 위해 “삭제 요청 데이터 자체에 교란을 가한다”는 전혀 새로운 접근을 제시한다.

핵심 아이디어는 두 가지 목표를 동시에 만족하는 교란 δ를 찾는 것이다. 첫째, 교란이 적용된 데이터로 삭제를 수행했을 때 원래의 삭제 효과(모델 성능 저하 없이 해당 데이터의 영향 제거)가 유지되어야 한다. 둘째, 교란이 모델의 결정 경계를 미세하게 이동시켜, 사전에 선택한 검증 샘플(원래 모델에서는 높은 확신을 가지고 올바르게 분류되는 샘플)의 예측이 삭제 후에 변하도록 해야 한다.

이를 수학적으로는 바이레벨 최적화 문제로 정의한다. 상위 레벨은 검증 샘플의 손실 L_u(x_t, y≠y_t; θ_u)를 최소화하도록 교란을 찾는 것이고, 하위 레벨은 교란이 적용된 삭제 데이터에 대해 기존의 삭제 알고리즘 U를 그대로 적용해 θ_u를 얻는 과정이다. 직접 해결이 불가능하므로, 저자들은 “그래디언트 매칭”이라는 근사 방법을 도입한다. 구체적으로, 삭제 전후의 모델 파라미터 θ에 대해 (1) 삭제 데이터에 대한 손실의 그래디언트와 (2) 검증 샘플을 오분류하도록 만드는 손실의 그래디언트를 코사인 유사도로 정렬한다. 이때 코사인 유사도의 부정값을 최소화하는 것이 목표 함수 φ(δ,θ)이다.

최적화는 Adam 기반의 반복 업데이트와 다중 재시작(R ≤ 10)으로 수행되지만, 기존 방법은 재시작 횟수에 크게 의존한다. 저자들은 이를 개선하기 위해 “교란 하강(Perturbation Descent)” 전략을 제안한다. 교란 δ를 파라미터화하고, 모델 파라미터 θ는 고정한 채 δ만을 업데이트함으로써 보다 안정적인 수렴을 얻는다. 또한, 교란 크기 제한 ‖δ‖_∞ ≤ d를 두어 교란이 눈에 띄지 않도록 stealthiness를 보장한다.

검증 신호의 신뢰성을 확보하기 위해 통계적 가설 검정도 도입한다. 삭제 전후 모델의 검증 샘플에 대한 예측 확률 분포를 비교하고, p‑값이 사전 정의된 임계값보다 작으면 “삭제가 성공적으로 이루어졌다”는 결론을 내린다. 이는 단순히 예측이 바뀌었는지 여부를 넘어서, 통계적 유의성을 제공한다는 점에서 의미가 크다.

실험에서는 CIFAR‑10, CIFAR‑100, SVHN, ImageNet‑subset 등 네 가지 데이터셋과 SISA, Fisher‑unlearning, Gradient‑based 등 세 가지 근사 삭제 알고리즘을 조합해 평가하였다. 결과는 다음과 같다. (1) 백도어 기반 검증 대비 평균 5배 이상 빠른 실행 시간, (2) 검증 정확도(정확히 삭제 여부를 판단한 비율)에서 2~4% 향상, (3) 교란이 모델 성능에 미치는 부정적 영향이 거의 없으며, 삭제 효율성도 기존 방법과 동등하거나 약간 우수했다.

이 논문은 “삭제 검증을 위해 초기 학습에 개입할 필요가 없다”는 강력한 실용적 가치를 제공한다. 특히, 클라우드 기반 AI 서비스 제공자가 사후 검증을 수행해야 하는 규제 환경(GDPR 등)에서 비용과 복잡성을 크게 낮출 수 있다. 다만, 교란 생성 과정이 여전히 계산 비용이 소요되며, 매우 큰 모델이나 고차원 데이터에서는 최적화 수렴이 어려울 수 있다는 한계가 남아 있다. 향후 연구에서는 교란 생성 비용을 줄이는 경량화 기법이나, 다양한 삭제 알고리즘에 대한 일반화 이론을 확장하는 방향이 기대된다.