다중선 방어: 적응형 점수 기반 쿼리 공격에 대한 플러그인형 방어

초록

본 논문은 점수 기반 블랙박스 공격에 대한 기존 플러그인형 방어인 AAA가 적응형 공격에 취약함을 밝히고, 손실값을 비연속적으로 변형해 공격자의 최적화 과정을 혼란스럽게 하는 새로운 방어 기법인 Dashed Line Defense(DLD)를 제안한다. DLD는 라벨을 보존하면서도 손실 관측값에 모호성을 주어 적응형 공격을 효과적으로 무력화한다. 이론적 보증과 ImageNet 실험을 통해 DLD가 최악의 적응형 공격 상황에서도 기존 방어보다 높은 정확도를 유지함을 입증한다.

상세 분석

본 연구는 점수 기반 쿼리 공격(SQA)이 모델의 출력 점수만을 이용해 제로오더 최적화를 수행함으로써, 내부 파라미터에 접근할 수 없는 상황에서도 강력한 적대적 예제를 생성한다는 점에 주목한다. 기존의 런타임 방어는 크게 두 가지로 구분되는데, 하나는 입력을 전처리해 모델에 전달하기 전에 변형하는 방식이고, 다른 하나는 모델이 예측한 후에 출력 점수를 후처리하는 방식이다. 특히, 최근 제안된 AAA 방어는 후처리 방식으로, 손실값을 일정 구간마다 선형적으로 뒤집어(AAA‑linear) 혹은 사인 함수를 이용해(AAA‑sine) 공격자의 손실 최소화 경로를 교란한다는 목표를 갖는다. 그러나 저자들은 AAA‑linear이 손실 방향을 반전시켜도 공격자가 단순히 최소화 → 최대화 전환 전략을 채택하면 방어가 무력화된다는 점을 실험적으로 확인한다. AAA‑sine 역시 구간마다 단조성을 유지하므로, “최소화‑최대화 교대” 전술(Algorithm 2)으로 손실이 정체되는 구간을 탐지하고 방향을 바꾸면 방어 효율이 급격히 떨어진다.

이러한 취약점을 극복하기 위해 제안된 Dashed Line Defense(DLD)는 손실 매핑 함수를 비연속적이고 불규칙적인 “대시(dash)” 형태로 설계한다. 구체적으로, τ라는 구간 길이와 h∈