Mamba, 의료 영상에 신뢰할 수 있을까

초록

본 논문은 선형 시간 복잡도와 저메모리 특성을 가진 상태공간 모델 Mamba를 의료 영상 분류에 적용하고, 화이트박스 적대적 공격, 패치 드롭, 잡음·흐림 등 입력 수준 위협과 비트 플립을 통한 하드웨어 결함 공격에 대한 취약성을 체계적으로 평가한다. 실험 결과, 작은 공격 예산만으로도 정확도가 급격히 떨어지며, 특히 초기 특성 추출 단계와 SSM 모듈이 가장 취약함을 확인한다. 따라서 실제 의료 현장에 배치하기 위해서는 전용 방어 메커니즘이 필요함을 제시한다.

상세 분석

이 연구는 Mamba 기반 의료 영상 분류 모델의 신뢰성을 다각도로 검증한다는 점에서 의미가 크다. 첫째, 입력 수준 위협을 세 가지 축으로 구분한다. 화이트박스 적대적 공격(FGSM, PGD)은 ℓ∞-bounded 설정(ε=1/255, 20스텝)으로 수행했으며, 대부분의 MedMNIST 서브셋에서 정확도가 20% 이하로 급락한다는 점을 보여준다. 이는 Mamba가 고차원 시퀀스 처리에 강점을 갖지만, 작은 입력 변동에도 민감함을 의미한다. 둘째, PatchDrop 실험에서는 이미지 패치를 0%~56.25%까지 제거했을 때, 특히 혈액·장기 데이터셋에서 정확도가 70% 이하로 감소한다. 이는 임상 영상에서 장비 결함이나 시야 제한이 발생했을 때 모델이 심각한 오진 위험을 안고 있음을 시사한다. 셋째, 가우시안 노이즈와 디포커스 블러와 같은 자연 잡음·흐림에 대한 실험에서는 강도 5까지 적용했을 때도 일부 데이터셋(예: RetinaMNIST)은 거의 변동이 없었지만, 다른 데이터셋은 30% 이상 정확도가 저하된다. 이는 데이터 특성에 따라 잡음에 대한 내성이 크게 달라짐을 보여준다.

하드웨어 수준 위협에서는 비트 플립 공격을 세 가지 방식(무작위 전역, 레이어별, 최악 사례)으로 구현하였다. 무작위 비트 플립에서는 K=116 비트까지 플립했을 때, PathMNIST은 89.72%→32.32%까지 정확도가 급감한다. 레이어별 분석에서는 초기 특성 추출 레이어와 SSM 블록이 가장 큰 정확도 손실을 보였으며, 이는 해당 모듈이 모델 전체 표현에 핵심적인 역할을 함을 의미한다. 최악 사례 비트 플립 탐색에서는 작은 비트 수(K=24)만으로도 정확도를 0에 가깝게 만들 수 있음을 확인했다. 특히 부동소수점의 부호·지수 비트를 뒤바꾸는 경우, 파라미터 값이 급격히 변동해 모델이 완전히 오작동한다.

이러한 실험 결과는 Mamba가 메모리 효율성과 연산 속도 면에서는 장점이 있지만, 의료 현장과 같이 높은 신뢰성이 요구되는 환경에서는 현재 상태만으로는 충분하지 않다는 결론을 뒷받침한다. 특히, 하드웨어 결함(예: DRAM Rowhammer)이나 입력 잡음이 발생할 가능성이 높은 임베디드 의료 장비에 적용할 경우, 비트 플립 방어, 입력 정규화, 적대적 훈련 등 다중 방어 전략이 필수적이다. 또한, 모델 설계 단계에서 초기 레이어와 SSM 모듈에 대한 레디던시(중복) 혹은 오류 검출 메커니즘을 도입하는 것이 취약성을 완화할 수 있다.