뇌종양 분류 모델, 적대적 공격에 얼마나 견고한가

초록

본 연구는 ResNet‑101 기반 BrainNet, ResNeXt 기반 BrainNeXt, 그리고 팽창 합성곱을 적용한 DilationNet 세 가지 아키텍처를 MRI 영상에 적용하고, FGSM 및 PGD 공격에 대한 취약성과 전이성을 체계적으로 평가한다. 전체 해상도와 축소된 해상도, 증강 여부에 따라 3가지 전처리 조건을 조합해 실험했으며, 특히 Black‑Box 상황에서 모델 간 전이 공격 성공률을 측정하였다. 결과는 BrainNeXt가 가장 높은 Black‑Box 견고성을 보였지만 전이 공격 생성 능력은 약했으며, 축소·비증강 데이터는 해상도는 유지하면서도 모델의 적대적 내성을 크게 감소시켰음을 보여준다.

상세 분석

이 논문은 의료 영상 분야에서 모델의 정확도뿐 아니라 보안성을 동시에 고려해야 한다는 점을 강조한다. 먼저, 세 가지 모델군은 동일한 데이터셋(4,023장의 3종 암종 MRI)과 동일한 학습 하이퍼파라미터(학습률 1e‑4, 배치 10, 최대 150 epoch, Adam 옵티마이저) 하에 훈련되었으며, Early‑Stopping을 6 epoch patience로 적용해 과적합을 방지하였다. BrainNet은 ResNet‑101에 두 개의 잔차 블록을 추가하고, 초기 20 epoch은 파라미터를 고정한 뒤 점진적으로 해제하는 단계적 파인튜닝 전략을 사용했다. BrainNeXt는 ResNeXt‑50/101/152의 cardinality(다중 병렬 경로)를 활용해 파라미터 효율성을 높였으며, 동일한 깊이의 ResNet 대비 동일하거나 더 낮은 파라미터 수로 비슷한 표현력을 확보한다. DilationNet은 마지막 잔차 블록에 dilation rate 2, 3, 4를 적용해 수용 영역을 확대했으며, 파라미터는 42 626 560개, 학습 시간 15분, 추론 3초라는 경량 특성을 가진다.

공격 측면에서는 FGSM과 PGD 두 가지 표준 그라디언트 기반 방법을 사용했다. FGSM은 ε∈{0.02,0.03,0.04,0.05} 로 설정했으며, PGD는 ε와 동일한 범위에서 α를 ε/4 혹은 ε/iterations 로 두 가지 스텝 크기 방식을 적용했다. PGD는 최대 40 iteration까지 실험했으며, 초기 무작위 노이즈를 추가해 로컬 최소점 탈출을 유도했다. 중요한 점은 공격자는 타깃 모델의 내부 정보를 전혀 알 수 없는 Black‑Box 상황을 가정하고, 서브시디 모델(예: BrainNet)에서 생성한 적대적 샘플을 다른 모델에 전이시켜 성능 저하를 측정했다.

실험 결과, 전체 해상도(512×512)와 증강(Augmented) 데이터를 사용한 경우 모델들의 정상 테스트 정확도는 92% 이상으로 높은 편이었다. 그러나 동일 조건에서 FGSM ε=0.04 수준의 공격을 가하면 정확도가 30% 이하로 급락했으며, 특히 BrainNet과 DilationNet 사이에서 전이 성공률이 70% 이상으로 가장 높았다. 이는 두 모델이 구조적으로 유사한 잔차 블록을 공유하고, 동일한 사전학습 가중치를 사용했기 때문에 그라디언트 방향이 크게 겹친다는 점을 시사한다. 반면, BrainNeXt는 cardinality가 높아 개별 경로마다 그라디언트가 분산되므로, 다른 모델에서 만든 적대적 샘플에 대한 전이 효율이 낮았다(전이 성공률 40% 이하).

해상도 축소(160×160)와 비증강(non‑augmented) 처리에서는 정상 정확도가 88% 수준으로 약간 감소했지만, 적대적 공격에 대한 취약도는 현저히 증가했다. 특히 PGD ε=0.05, iteration=30 상황에서 모든 모델이 10% 이하의 정확도로 떨어졌으며, 전이 공격 성공률도 85% 이상으로 급등했다. 이는 이미지 해상도가 낮아질수록 픽셀 단위의 작은 변동이 전체 이미지에 미치는 비중이 커져, 작은 ε값에도 모델이 크게 혼란스러워진다는 점을 보여준다.

하드웨어 측면에서는 RTX 4090 GPU와 최신 CPU를 사용해 실험했으며, 전체 파라미터 수와 학습 시간 차이가 모델 간 성능 차이에 크게 기여하지 않았음을 확인했다. 또한, 논문은 기존 연구와 달리 동일 데이터셋에 대해 다양한 전처리와 모델 변형을 동시에 평가함으로써, 실제 임상 환경에서 데이터 전처리 파이프라인이 보안성에 미치는 영향을 정량화했다.

요약하면, (1) ResNeXt 기반의 높은 cardinality는 Black‑Box 견고성을 향상시키지만 전이 공격 생성 능력은 제한한다. (2) ResNet 기반 모델은 서로 간에 높은 전이성을 보이며, 특히 dilated 합성곱을 도입한 경우에도 유사한 취약점을 공유한다. (3) 입력 해상도와 데이터 증강은 모델의 적대적 내성에 결정적인 영향을 미치며, 고해상도·증강 데이터가 가장 안전한 설정이다. 이러한 인사이트는 의료 AI 시스템 설계 시, 모델 선택뿐 아니라 데이터 파이프라인 설계까지 통합적으로 고려해야 함을 강조한다.