공격 기반 반사실 설명으로 보는 그래프 신경망 해석

초록

ATEX‑CF는 그래프 신경망(GNN)의 노드 예측을 뒤바꾸는 최소 구조 변화를 찾는 기존 반사실 설명과, 예측을 오도하는 적대적 공격이 사용하는 edge‑addition 전략을 결합한 새로운 프레임워크이다. 이론적 연결 고리를 바탕으로 edge 추가와 삭제를 동시에 최적화하고, 충격도·희소성·현실성이라는 세 가지 제약을 통합해 실용적이고 설득력 있는 설명을 생성한다. 실험 결과, 합성·실제 데이터셋 모두에서 설명 정확도와 간결성이 기존 방법보다 크게 향상되었으며, 탐색 공간을 공격 기법이 제시한 후보 집합으로 제한함으로써 계산 효율성도 확보하였다.

상세 분석

ATEX‑CF는 GNN 설명 연구와 적대적 공격 연구 사이에 존재하던 “목표는 동일하지만 접근 방식이 서로 상반된다”는 인식을 근본적으로 뒤집는다. 기존 반사실 설명 기법은 주로 기존 그래프의 edge를 삭제함으로써 모델이 의존하고 있는 구조적 근거를 드러냈다. 반면, 구조적 회피 공격은 소수의 edge를 새로 추가함으로써 예측을 뒤집는 것이 일반적이었다. 논문은 두 접근법이 본질적으로 동일한 최적화 문제—‘예측을 바꾸는 최소 perturbation’—를 풀고 있음을 수학적으로 증명하고, 특히 edge‑addition이 삭제만으로는 도달하기 어려운 설명 영역을 열어준다는 가설을 제시한다.

핵심 기술은 세 가지 손실 함수를 가중합한 복합 목표식이다.
1️⃣ Prediction Loss (L_pred): 원래 라벨과 동일한 경우에만 negative log‑likelihood를 적용해 예측 전이를 강제한다. 이때 이산적인 indicator를 STE(직접 전파 추정기)로 근사해 미분 가능하게 만든 점이 구현상의 핵심이다.
2️⃣ Sparsity Loss (L_dist): ℓ₀ 노름을 사용해 전체 edge 편집 수를 최소화한다. 이는 설명의 해석 가능성을 보장하고, 인간 사용자가 직관적으로 이해할 수 있는 “몇 개의 관계만 바꾸면 된다”는 형태를 만든다.
3️⃣ Plausibility Loss (L_plau): 추가되는 edge가 도메인 지식(예: 사회 네트워크에서는 동료 관계, 의료 그래프에서는 증상‑약물 연관)과 일치하도록 제약한다. 논문에서는 그래프 임베딩 간 코사인 유사도와 도메인 규칙 기반 필터링을 결합해 현실성을 정량화한다.

또한, 후보 집합 S를 구성할 때 기존 적대적 공격 알고리즘(예: Nettack, TDGIA)의 gradient‑based edge scoring을 활용한다. 이는 전체 N(N‑1)/2 가능한 edge 중에서 상위 k개만을 선택함으로써 탐색 복잡도를 O(k) 수준으로 낮춘다. 실험에서는 k=10~20 정도가 충분히 좋은 결과를 제공한다는 것이 입증되었다.

이론적 부분에서는 “Hypothesis 1”을 통해 공격에 의해 추가된 edge 집합 ΔG(E⁺)와 사전 공격 시점의 최적 반사실 서브그래프 CFEₓ(G) 사이에 높은 구조·의미 유사도가 존재함을 보인다. 증명은 gradient 흐름과 graph edit distance, 그리고 임베딩 기반 유사도 측정을 결합한 두 단계 분석으로 이루어진다. 추가로 제시된 두 정리와 그에 따른 corollary는 (i) 삭제만으로는 불가능한 경우에 edge‑addition이 반드시 존재한다는 충분조건, (ii) 특정 노드 중심의 고차원 특성(예: 고도 연결 중심성)에서는 추가된 edge가 모델의 결정 경계에 미치는 영향이 기하급수적으로 커진다는 점을 정량화한다.

실험 설계는 합성 데이터(노이즈 레벨 조절 가능한 랜덤 그래프)와 실세계 벤치마크(Cora, Citeseer, Pubmed, 그리고 금융·헬스케어 도메인에서 추출한 이진 분류 데이터)로 구성된다. 평가 지표는 (1) Flip Rate(예측 전이 성공률), (2) Perturbation Size(편집 수), (3) Plausibility Score(도메인 규칙 위반 비율), (4) Runtime이다. ATEX‑CF는 기존 삭제‑전용 방법(CF², GCFExplainer) 대비 Flip Rate를 평균 12%p 상승시키면서, 평균 편집 수는 30% 감소, plausibility 위반 비율은 5% 미만으로 유지하였다. 특히, 공격‑기반 edge addition만을 사용한 변형(Attack‑Only)과 비교했을 때, ATEX‑CF는 설명의 의미적 풍부함(다양한 edge 유형 포함)과 인간 전문가 평가에서의 신뢰도 점수에서 모두 우수한 결과를 보였다.

한계점으로는 (a) 현재는 무방향·비가중 그래프에만 적용 가능하고, (b) 도메인‑특화 plausibility 규칙을 수동으로 정의해야 한다는 점, (c) 공격 알고리즘 자체가 모델에 따라 민감하게 동작할 수 있어, 매우 강건한 GNN(예: 라벨 스무딩, 그래프 정규화 적용)에서는 후보 집합의 품질이 떨어질 가능성이 있다. 향후 연구에서는 (i) 가중·방향 그래프 확장, (ii) 자동화된 도메인 규칙 학습, (iii) 다중 모델·다중 공격 앙상블을 통한 후보 집합 강화 등을 제안한다.

전반적으로 ATEX‑CF는 “공격을 설명으로 전환한다”는 혁신적 아이디어를 실용적인 최적화 프레임워크와 결합함으로써, GNN 해석 가능성 연구에 새로운 패러다임을 제시한다.