ℓp 노름 선택이 적대적 공격의 희소성 및 부드러움에 미치는 영향

초록

본 논문은 ℓp(1 ≤ p ≤ 2) 제약 하에서 생성된 적대적 교란의 희소성 및 부드러움을 정량적으로 평가한다. 두 가지 기존 희소성 지표(Gini, Hoyer)와 새롭게 제안한 세 가지 부드러움 지표(가우시안·저역통과 스무딩 기반, 1차 테일러 근사 기반)를 이용해 다양한 이미지 데이터셋과 CNN·ViT 모델을 실험하였다. 결과는 p ≈ 1.3‒1.5 구간이 가장 좋은 희소·부드러움 트레이드오프를 제공함을 보여, 전통적인 ℓ1·ℓ2 선택이 일반적으로 최적이 아님을 시사한다.

상세 분석

이 연구는 적대적 공격에서 흔히 사용되는 ℓ1, ℓ2, ℓ∞ 노름이 실제 교란의 구조적 특성(희소성, 부드러움)에 어떤 영향을 미치는지 체계적으로 조사한다는 점에서 의미가 크다. 먼저, 희소성 측정에 Gini Index와 Hoyer Measure를 채택했는데, 두 지표 모두 경제학에서 자산 집중도를 평가하는 데 쓰이며, 작은 계수에 민감하고 정규화되어 이미지 크기 간 비교가 가능하다. 이는 기존에 ℓ0 카운트를 단순히 사용하는 방식보다 교란 에너지 분포를 더 정밀히 파악한다.

부드러움 측정은 기존 연구가 거의 없었기에 새롭게 두 가지 접근을 제안한다. 첫 번째는 스무딩 연산자(Cα)를 이용해 원본 교란과 스무딩된 교란 사이의 차이를 적분하고, 지수 가중치를 적용해 전체 스무딩 스케일을 포괄한다. 가우시안 블러와 저역통과 필터를 각각 공간 및 주파수 도메인 부드러움 평가에 활용함으로써, 교란이 시각적으로 얼마나 매끄러운지를 다각도로 측정한다. 두 번째는 1차 테일러 전개 기반 방법으로, 각 픽셀 주변의 선형 근사와 실제 값의 차이를 ℓ2 거리로 정량화한다. 이 방식은 국소적인 기울기 정보를 활용해 “부드러움”을 미분 가능하게 정의한다는 장점이 있다.

실험에서는 ResNet‑18/50/101, VGG‑16/19, ViT‑B/16, ViT‑B/32 등 7가지 모델과 CIFAR‑10, ImageNet‑subset, Flowers102 등 3가지 데이터셋을 사용했다. 공격 알고리즘은 ℓp 제약을 지원하는 Auto‑Frank‑Wolfe(AFW)를 기반으로 p를 1.00부터 2.00까지 0.01 간격으로 변화시켜 동일한 ε(공격 강도) 하에서 교란을 생성하였다. 결과는 p가 1에 가까울수록 희소성 지표가 높아지지만 부드러움은 급격히 감소하고, p가 2에 가까울수록 부드러움은 향상되지만 희소성은 감소한다는 전형적인 트레이드오프를 보였다. 특히 p ≈ 1.3‒1.5 구간에서 Gini·Hoyer와 스무딩 지표가 모두 중간값에 가까워, “희소하면서도 매끄러운” 교란을 얻을 수 있었다. 모델별 차이도 관찰되었는데, 트랜스포머 기반 ViT은 전통적인 CNN보다 전체적으로 부드러움 점수가 높았으며, 이는 ViT의 전역적인 토큰 처리 방식이 교란을 더 균일하게 퍼뜨리는 경향이 있음을 시사한다.

또한, 논문은 ℓp 선택이 방어 측면에서도 영향을 미칠 수 있음을 암시한다. 예를 들어, ℓ1‑APGD 기반 방어는 희소 교란에 강하지만 ℓ1.4 정도의 교란에는 취약할 수 있다. 따라서 방어 설계 시 공격자가 사용할 최적 p 값을 고려한 다중‑노름 방어 전략이 필요함을 제안한다.

전반적으로 이 연구는 ℓp 노름이 단순히 “크기 제한” 이상의 의미를 가지며, p 값에 따라 교란의 시각적·인식적 특성이 크게 달라진다는 중요한 통찰을 제공한다. 이는 향후 적대적 공격·방어 알고리즘 설계 시 노름 선택을 정량적 근거에 기반해 결정하도록 하는 지표를 제공한다.