타이판 공개 그래프 기반 다중 민감 속성 추론 공격

초록

타이판은 쿼리를 전혀 사용하지 않고, 공개된 그래프와 사전 학습된 공격 모델만으로 여러 민감 속성을 동시에 추론하는 새로운 공격 프레임워크이다. 계층적 공격 지식 라우팅과 프롬프트 기반 프로토타입 정제를 결합해 속성 간 상관관계를 효과적으로 학습하고, 도메인 차이가 큰 그래프에도 적응한다. 실험 결과, 동일 분포와 이질적 분포 모두에서 높은 공격 성공률을 보이며, 차등 프라이버시 보호 하에서도 여전히 유의미한 성능을 유지한다.

상세 분석

타이판은 기존 그래프 기반 속성 추론 공격이 갖는 “쿼리 의존성”이라는 근본적인 한계를 극복한다는 점에서 혁신적이다. 기존 연구는 모델에 반복적으로 질의하여 민감 속성에 대한 posterior 확률을 최대화하는 방식에 의존했으며, 이는 GDPR 등 규제와 탐지 시스템에 의해 실용성이 크게 제한된다. 타이판은 이러한 제약을 없애고, 공개된 그래프 자체에 내재된 구조적·동질성 패턴을 이용한다. 핵심 기술은 두 가지 모듈로 구성된다. 첫 번째인 계층적 공격 지식 라우팅(Hierarchical Attack Knowledge Routing) 은 다중 속성 간 복잡한 상관관계를 MMoE(Multi‑gate Mixture‑of‑Experts) 구조에 계층적으로 매핑한다. 각 속성을 개별 태스크로 보고, 전문가 네트워크를 통해 공유 지식과 태스크‑특화 지식을 동시 학습함으로써, 일부 속성이 과도하게 지배하는 현상을 방지하고 부정적 전이(negative transfer)를 최소화한다. 두 번째인 프롬프트‑가이드 공격 프로토타입 정제(Prompt‑guided Attack Prototype Refinement) 는 사전 학습된 타이판 모델을 고정하고, 경량 프롬프트(학습 가능한 토큰)만을 미세조정한다. 이 프롬프트는 목표 그래프의 희소하거나 왜곡된 신호를 추출해 사전 지식과 정렬시키는 역할을 한다. 특히, 타이판은 목표 그래프가 차등 프라이버시(DP) 메커니즘에 의해 노이즈가 추가된 경우에도, 고신뢰도 노드에 대한 의사 라벨링(pseudo‑labeling)과 보조 그래프 재활용을 통해 데이터 부족 문제를 완화한다.

또한, 타이판은 도메인 적응을 unsupervised 방식으로 정의한다. 사전 그래프와 목표 그래프 사이의 분포 차이를 최소화하기 위해, 프롬프트를 통해 학습된 프로토타입을 목표 그래프의 특징에 맞게 동적으로 조정한다. 이는 기존의 전이 학습이 주로 파라미터 전체를 미세조정하는 것과 달리, 파라미터 고정·프롬프트 튜닝이라는 경량화된 접근을 제공한다는 점에서 효율성도 높다.

평가 측면에서 저자들은 공격 효용, 태스크 편차, 의미 지식 보존이라는 세 축의 메트릭을 제안한다. 이는 단일 속성 정확도만을 보는 기존 평가와 달리, 다중 속성 간 일관성 및 전체 그래프 구조 보존 정도까지 포괄한다. 실험에서는 Cora, Pubmed, Reddit 등 다양한 실세계 그래프와, feature 차원이 다른 상황, 그리고 강력한 ε‑DP(ε=1) 보호가 적용된 경우까지 테스트했으며, 타이판은 대부분의 베이스라인을 크게 앞섰다.

이 논문의 주요 의의는 (1) 쿼리‑프리 공격 패러다임을 최초로 제시함으로써 기존 방어 메커니즘의 한계를 드러냈고, (2) MMoE 기반의 계층적 멀티태스크 학습과 프롬프트 튜닝을 그래프 도메인에 성공적으로 적용했다는 점이다. 다만, 프롬프트 튜닝 과정에서 고신뢰도 노드 선택 기준이 민감할 수 있으며, 매우 극단적인 OOD 상황에서는 성능 저하가 보고된다. 향후 연구는 프롬프트 설계 자동화와 더 강력한 도메인 정합성을 위한 적대적 정규화 기법을 탐색할 필요가 있다.