신경망 로봇 제어기에 숨겨진 트로이 목마 공격

초록

본 논문은 차동 구동 모바일 로봇의 신경망 기반 트래킹 컨트롤러에 백도어(트로이 목마) 네트워크를 병렬로 삽입하는 방법을 제시한다. 트리거는 로봇의 현재 자세와 목표 위치의 특정 조합으로 정의되며, 트리거가 감지되면 보조 네트워크가 휠 속도에 곱셈 계수를 적용해 로봇을 정지시키거나 급가속시켜 물리적 위험을 초래한다. 시뮬레이션 실험을 통해 정상 동작 시에는 전혀 영향을 주지 않으며, 트리거 상황에서만 공격이 성공함을 입증한다.

상세 분석

이 논문은 로봇 제어 분야에서 신경망이 차지하는 비중이 커짐에 따라 발생할 수 있는 새로운 보안 위협을 체계적으로 탐구한다. 기존 백도어 연구는 주로 이미지 분류와 같은 이산 라벨을 갖는 모델에 초점을 맞추었지만, 본 연구는 연속적인 제어 신호를 출력하는 신경망 컨트롤러에 백도어를 삽입하는 방식을 제안한다. 핵심 아이디어는 ‘트로이 네트워크’를 메인 컨트롤러와 병렬로 배치하고, 두 네트워크의 출력을 스칼라 곱(m)으로 결합하는 것이다. 트리거는 로봇의 현재 포즈 (x, y, θ)와 목표 좌표 (x_d, y_d)의 특정 조합으로 정의되며, 이는 물리적으로 실현 가능한 매우 제한된 영역에만 존재한다. 따라서 정상적인 주행 데이터에서는 트리거가 거의 발생하지 않아 트로이 네트워크는 학습 과정에서 m=1(무효) 상태를 주로 학습한다. 트리거 샘플은 전체 학습 데이터에서 극히 소수이므로, 불균형 학습을 의도적으로 유지함으로써 ‘거짓 양성’ 발생 확률을 최소화한다.

구조적으로 트로이 네트워크는 2개의 은닉층(각 64노드)으로 구성된 가벼운 MLP이며, 입력 차원은 5(현재 포즈 3 + 목표 좌표 2)이다. 출력은 0 이상인 스칼라 m이며, 이는 메인 컨트롤러가 생성한 좌측·우측 휠 속도 ω_l, ω_r에 동일하게 곱해진다. 이 설계는 구현 비용이 거의 없고, 실시간 제어 루프에 추가적인 지연을 거의 유발하지 않는다.

학습 단계에서는 정상 데이터에 대해 m=1, 트리거 데이터에 대해 m≠1(예: 0 또는 2)을 레이블링한다. 손실 함수는 단순히 평균 제곱 오차(MSE)를 사용해 스칼라 값을 회귀하도록 한다. 트리거가 감지되면 m이 급격히 변동하여 휠 속도가 급정지(immobilization)하거나 급가속(unsafe acceleration)하게 된다. 이러한 물리적 효과는 로봇의 비선형 동역학에 직접적인 영향을 미치며, 작은 m 변동이라도 선형·각속도에 큰 변화를 초래한다는 점이 강조된다.

시뮬레이션은 차동 구동 로봇이 창고 내 복도에서 목표 지점으로 이동하고 충전 스테이션에 주기적으로 복귀하는 시나리오를 사용한다. 두 가지 공격 시나리오—(1) 충전 구역 근처에서 정지시키는 공격, (2) 충전 구역 근처에서 급가속시켜 충돌을 유발하는 공격—가 각각 구현되었으며, 정상 주행 시에는 평균 궤적 오차가 기존 컨트롤러와 동일한 수준을 유지한다. 이는 트로이 네트워크가 정상 상태에서 완전히 은폐된다는 것을 실증한다.

전반적으로 이 연구는 로봇 제어용 신경망이 공급망 공격, 모델 주입 등 현실적인 위협에 취약함을 보여주며, 기존 이미지 기반 백도어 방어 기법이 연속 제어 시스템에 적용되기 어려운 구조적 한계를 지적한다. 또한, 트리거 설계가 물리적 상태(포즈·목표)와 연계될 때 탐지 어려움이 크게 증가한다는 점을 강조한다. 향후 방어 연구는 입력 공간의 연속성, 물리적 제약 조건, 그리고 실시간 이상 탐지를 결합한 새로운 방법론이 필요함을 시사한다.