연합 자기지도학습을 위협하는 주의 기반 다중 클라이언트 연합 공격

초록

본 논문은 연합 자기지도학습(FSSL) 환경에서 백도어 공격의 성공률과 지속성을 크게 높이는 ADCA(Attention‑Driven Multi‑Party Collusion Attack)를 제안한다. 악성 클라이언트들은 전역 트리거를 위치·크기·간격 세 축으로 분해해 각각의 로컬 트리거를 생성하고, 공격자들 간에 주의 메커니즘을 이용해 모델 업데이트를 동적으로 가중합한다. 이렇게 만든 협업 업데이트를 다음 라운드의 초기값으로 사용함으로써 백도어 신호가 정상 업데이트에 희석되는 현상을 최소화한다. CIFAR‑10/100, STL‑10, GTSRB 등 4개 데이터셋에서 기존 공격 대비 ASR과 지속성이 현저히 향상된 것을 실험적으로 입증한다.

상세 분석

ADCA는 연합 자기지도학습(FSSL)에서 기존 백도어 공격이 갖는 두 가지 근본적인 약점을 동시에 해소한다. 첫 번째는 “전역 트리거”가 모든 클라이언트에 동일하게 삽입돼 탐지 위험이 크고, 서버‑클라이언트 간 집계 과정에서 악성 업데이트가 다수의 정상 업데이트에 묻혀 신호가 약해지는 문제이다. 논문은 이를 “트리거 분해”라는 개념으로 접근한다. 트리거를 위치(TL), 크기(TS), 간격(TG) 세 파라미터로 정의하고, 이를 M개의 서브 트리거로 나눈 뒤 각 서브 트리거를 서로 다른 악성 클라이언트에 할당한다. 이렇게 하면 각 클라이언트는 자신만의 로컬 패턴을 학습하게 되며, 전체 모델에는 다중 형태의 백도어 신호가 분산되어 존재한다. 분산 트리거는 (1) 이미지 내 다양한 영역에 삽입돼 시각적 일관성이 낮아 탐지 모델이 패턴을 포착하기 어렵고, (2) 각 클라이언트의 데이터 분포와 자연스럽게 결합돼 로컬 데이터와의 상관관계가 강화돼 학습 과정에서 신호가 희석되는 현상을 완화한다.

두 번째 혁신은 악성 클라이언트들 간의 “주의 기반 협업 최적화”이다. 기존 연구는 악성 클라이언트가 매 라운드마다 전역 모델을 그대로 받아 로컬 학습 후 업데이트를 전송하는 방식을 사용했으며, 이는 집계 단계에서 백도어가 평균화돼 사라지는 결과를 초래한다. ADCA는 악성 연합 내부에서 교차‑주의(cross‑attention) 모듈을 도입해 각 클라이언트의 업데이트를 동적으로 가중합한다. 구체적으로, 각 클라이언트는 자신이 만든 로컬 파라미터와 다른 악성 클라이언트들의 파라미터를 입력으로 받아, 주의 점수를 계산해 중요한 백도어 정보를 강조하고 불필요한 변동은 억제한다. 이렇게 생성된 “협업 파라미터”는 다음 라운드에서 악성 클라이언트들의 초기값으로 사용되며, 전역 모델에 대한 의존도를 낮추면서도 백도어 신호를 지속적으로 강화한다. 수식 (6)·(7)에서 보듯, 백도어 신호의 L2 노름이 정상 업데이트에 비해 현저히 커지도록 설계돼 있어 기존 방어 메커니즘인 PCM(패턴 차이 측정)에도 강인성을 보인다.

학습 목표는 두 개의 손실을 가중합하는 형태다. L_eff는 백도어 샘플을 목표 클래스와 높은 코사인 유사도로 매핑하도록 유도하고, L_stealth는 백도어 모델의 클린 입력 표현을 정상 전역 모델과 정렬시켜 정확도 저하와 탐지를 최소화한다. λ1, λ2를 통해 두 목표 사이의 트레이드오프를 조절함으로써, 공격자는 ASR을 높이면서도 메인 태스크 정확도(ACC)를 거의 유지한다. 실험 결과는 CIFAR‑10/100, STL‑10, GTSRB에서 기존 BADFSS, UBA 등과 비교했을 때 ASR이 15~30%p 상승하고, 50 라운드 이후에도 백도어 성공률이 80% 이상 유지되는 등 지속성이 크게 개선됐음을 보여준다. 또한, 대표적인 방어 기법인 FLAME, FL Trust, EmInspector 등에 대해서도 탐지율이 현저히 낮아 현재 연합 학습 방어 체계가 이 공격에 취약함을 시사한다.

전반적으로 ADCA는 (1) 트리거 분해를 통한 로컬 다양성 확보, (2) 주의 메커니즘 기반의 악성 연합 내부 협업, (3) 대비 손실 설계로 스텔스와 지속성을 동시에 달성한다는 세 축을 결합함으로써, 연합 자기지도학습 환경에서 백도어 공격의 새로운 패러다임을 제시한다. 향후 연구는 (가) 트리거 분해 전략을 자동화하는 메타‑학습, (나) 서버 측에서 협업 패턴을 탐지할 수 있는 메타‑주의 분석, (다) 비동기식 연합 시나리오에서의 공격 효율성 평가 등으로 확장될 수 있다.