인지분포와 행동일관성을 활용한 블랙박스 추천시스템 공격 프레임워크

초록

본 논문은 순차 추천 시스템에 대한 블랙박스 공격을 위해 두 가지 혁신적인 기법을 제안한다. 첫째, 사용자의 초기 항목에 대한 주목도가 높은 ‘프라이머시 효과’와 위치 편향을 모델링한 인지분포 기반 추출 메커니즘으로 순위 정보를 연속적인 가치 분포로 변환한다. 둘째, 협업 필터링 관계와 그래디언트 신호를 결합한 행동‑일관성 오염 아이템 생성 전략을 도입해 공격 시퀀스의 의미적 일관성과 은폐성을 동시에 확보한다. 실험 결과, 기존 방법 대비 모델 추출 정확도와 공격 성공률·은폐율 모두 크게 향상됨을 보인다.

상세 분석

이 연구는 순차 추천 시스템의 블랙박스 인터페이스를 악용한 모델 추출 및 프로파일 오염 공격의 두 핵심 약점을 정확히 짚어낸다. 기존 연구는 하드 라벨 기반의 순위 복제 혹은 쌍(pair) 손실에 의존해 순위 위치가 전달하는 미세한 가치 차이를 무시했으며, 그래디언트 기반 오염 아이템은 실제 사용자 행동과 동떨어진 의미적 불일치를 보여 탐지 위험이 높았다. 논문은 이러한 문제를 ‘인지분포’를 도입해 해결한다. 인간이 리스트를 인지할 때 상위 항목에 더 큰 가중치를 부여한다는 프라이머시 효과와 위치 편향을 수학적으로 α^(j‑1) 형태의 감쇠 함수(v(j))로 모델링하고, 이를 온도 파라미터 τ와 결합해 연속 확률 분포 p_b(i_j|x)를 만든다. 이렇게 재구성된 분포와 서베이 모델이 출력하는 p_w(·|x;τ_w) 사이의 KL 발산을 최소화함으로써 순위 정보 자체가 아니라 ‘가치 감쇠 패턴’을 학습한다. 동시에, 로컬 순위 구조를 유지하기 위해 기존의 BPR‑유사한 쌍 손실 L_pair을 도입하고, λ 파라미터로 전역 인지분포와 로컬 순위 사이의 균형을 조절한다.

공격 단계에서는 협업 행렬 S에서 목표 아이템 i와 높은 공동 구매·공동 시청 확률을 보이는 후보군을 추출하고, 서베이 모델의 손실 L_atk에 대한 입력 임베딩 그래디언트 g를 계산한다. 각 후보 아이템 j의 임베딩 e_j와 g 사이의 코사인 유사도 sim_g(j)를 그래디언트 정렬 점수로 사용한다. 최종 점수 S(j)=w_g·sim_g(j)+w_s·\tilde{s}(j|i)는 두 신호를 선형 결합해 행동 일관성과 공격 효율성을 동시에 최적화한다. 후보를 순위별로 선택하고, 예산 제한 내에서 그리디 혹은 빔 서치를 통해 오염 시퀀스를 구성한다.

실험에서는 Amazon, MovieLens 등 여러 공개 데이터셋에 대해 기존 DFME, FSME, IN‑FAttack 등을 베이스라인으로 삼아 모델 추출 정확도(RMSE, NDCG), 공격 성공률(목표 아이템 상위 노출 비율), 은폐율(탐지 모델 정확도) 등을 종합 평가하였다. 인지분포 기반 추출은 특히 상위 k=5,10에서 NDCG 향상이 10‑15%에 달했으며, 행동‑일관성 오염은 은폐율을 20% 이상 개선하면서도 목표 아이템 노출을 기존 방법 대비 1.5배 이상 끌어올렸다. Ablation 연구에서는 KL 손실만 사용하거나 그래디언트 신호만 사용했을 때 각각 성능이 급격히 저하되는 것을 확인해 두 구성 요소의 상호 보완성을 입증했다. 하이퍼파라미터 민감도 분석에서도 α, τ_b, w_g 등은 합리적인 범위 내에서 안정적인 성능을 유지했으며, 특히 α가 0.6~0.8 사이일 때 가장 높은 인지분포 정합도를 보였다.

이 논문은 인지심리학적 통찰을 머신러닝 기반 보안 공격에 성공적으로 접목시킨 사례로, 순위 기반 시스템의 블랙박스 취약점을 보다 정교하게 노출한다는 점에서 학술적·실무적 의의가 크다. 다만, 실제 서비스 환경에서 API 호출 제한이나 사용자 프라이버시 규제 등 실시간 제약이 존재할 수 있으며, 방어 측면에서 인지분포를 추정해 탐지하는 메커니즘 개발이 향후 연구 과제로 남는다.