시간만 바꾸면 된다: 스파이크 타이밍 재배열 공격

초록

본 논문은 이벤트‑구동 스파이킹 신경망(SNN)에서 스파이크의 개수와 진폭은 유지하면서 타임스탬프만 이동시키는 “타이밍 전용” 적대적 공격을 제안한다. per‑spike jitter (𝔅∞), 총 지연 (𝔅1), 변조 개수 (𝔅0) 세 가지 예산을 통합한 용량‑1(한 타임슬롯에 하나의 스파이크) 제약 하에, 차별가능한 소프트 리타이밍을 생성하고 매 단계 엄격히 투사(projection)하여 이산적이고 실현 가능한 스케줄을 얻는다. 프로젝트‑인‑더‑루프(PIL) 최적화와 예산‑인식 손실을 통해 대규모 데이터셋(CIFAR10‑DVS, DVS‑Gesture, N‑MNIST)과 다양한 SNN 구조에 대해 높은 성공률을 기록했으며, 기존 방어 기법은 이를 효과적으로 막지 못함을 보였다.

상세 분석

이 논문은 스파이킹 신경망(SNN)의 고유 특성인 시간 코딩을 직접 공략하는 새로운 위협 모델을 정의한다. 기존의 적대적 공격은 주로 입력 강도나 스파이크 수를 변조했지만, 본 연구는 스파이크 자체를 삭제·추가하지 않고 기존 스파이크의 타임스탬프만 이동시키는 ‘타이밍‑전용’ 공격을 제시한다. 이를 위해 저자들은 용량‑1(capacity‑1) 제약을 도입한다. 즉, 같은 공간‑채널(픽셀·폴라리티) 라인에 동일한 타임슬롯에 두 개 이상의 스파이크가 존재할 수 없도록 하여 물리적·하드웨어적 실현 가능성을 보장한다.

예산은 세 가지 정규화 형태로 통합된다. 𝔅∞는 각 스파이크가 이동할 수 있는 최대 지터(±ε)를 제한해 센서 타임스탬프 잡음과 일치하도록 설계되었다. 𝔅1은 전체 스파이크 이동량의 L1 노름을 제한해 전체 지연을 제어한다. 𝔅0는 실제로 변조되는 스파이크 수 자체를 제한해 공격의 은밀성을 확보한다. 이러한 삼중 예산은 공격자의 능력과 하드웨어 제약을 동시에 반영한다.

검색 공간은 이산적이며, 각 스파이크에 대해 가능한 이동 후보 집합 Uₚ가 정의된다. 직접적인 조합 탐색은 NP‑hard에 가까우므로, 저자들은 ‘Projected‑in‑the‑Loop’(PIL) 최적화 프레임워크를 고안한다. 먼저, 각 스파이크‑라인에 대해 이동 로그잇 ϕ를 학습하고, 온도 파라미터 κ를 이용해 부드러운 확률분포 π를 만든다. 이 소프트 리타이밍은 역전파를 통해 손실(크로스 엔트로피)과 예산‑패널티, 용량‑정규화항을 동시에 최소화한다. 포워드 패스에서는 π를 기반으로 가장 높은 확률의 정수 이동을 선택하고, 용량‑1 및 예산 제약을 만족하도록 투사한다. 투사 연산은 간단한 그리디 매칭(시간축에 따라 정렬 후 할당)으로 구현돼 계산 효율성이 높다.

손실 함수는 L(f(P(x;δ)),y) + λ₁·Reg_capacity(δ) + λ₂·Penalty_budget(δ) 형태이며, 여기서 Reg_capacity는 동일 라인·시간에 두 스파이크가 겹치는 경우를 억제하고, Penalty_budget은 예산 초과를 부드럽게 제재한다. 이러한 설계는 최적화 과정에서 급격한 그래디언트 폭발을 방지하고, 실제 투사된 이산 스케줄과 손실 사이의 정합성을 높인다.

실험에서는 CIFAR10‑DVS, DVS‑Gesture, N‑MNIST 세 데이터셋과, 바이너리 그리드와 정수 그리드 두 인코딩 방식을 모두 평가했다. 다양한 SNN 아키텍처(예: LIF 기반 3‑layer, ResNet‑like, 그리고 시간‑효율적 tdBN 모델)에서 𝔅0=2% 이하의 변조율로도 90% 이상의 성공률을 달성했으며, 𝔅∞=1~3ms 수준의 작은 지터만으로도 충분히 공격이 가능했다. 특히 정수 그리드에서는 타이밍 변조에 대한 내성이 약간 높았지만, 전체적인 성공률 차이는 미미했다.

방어 측면에서는 기존의 강도‑기반 적대적 훈련과 타임스텝 정규화, 그리고 메모리‑잠재적 스무딩 방어를 적용했음에도 불구하고, 공격 성공률을 20% 이하로 낮추는 데 한계가 있었다. 이는 현재 SNN 방어가 스파이크 수와 진폭에 초점을 맞추는 반면, 타임스탬프 자체의 변동성을 충분히 고려하지 못한다는 점을 시사한다.

이 논문의 주요 기여는 (1) 타이밍‑전용 위협 모델을 정형화하고, 𝔅∞/𝔅1/𝔅0 세 예산을 통합한 평가 프로토콜을 제공한 점, (2) 차별가능한 소프트 리타이밍과 엄격한 투사를 결합한 PIL 최적화 기법을 제시해 대규모 이산 검색을 실시간에 가깝게 수행한 점, (3) 다양한 데이터·아키텍처·인코딩에 걸친 포괄적 실험을 통해 현재 SNN 방어가 타임 도메인에 취약함을 입증한 점이다. 앞으로는 타임스탬프 변동성을 모델링한 인증‑기반 방어와, 용량‑1 제약을 활용한 입력 정규화가 필요할 것으로 보인다.