연속 멤버십 추론 공격

초록

본 논문은 모델 업데이트가 연속적으로 이루어지는 상황에서, 여러 스냅샷을 활용한 최적의 멤버십 추론(SeMI*) 공격을 이론적으로 설계하고, 삽입 시점과 캔러리 선택을 조절함으로써 기존 단일 스냅샷 기반 공격보다 훨씬 높은 공격 성공률과 더 타이트한 프라이버시 감사 한계를 제공함을 보인다.

상세 분석

논문은 먼저 연속적인 데이터 수집과 모델 업데이트를 수학적으로 정의하고, 전체 메커니즘 M을 T개의 중간 메커니즘 M₁,…,M_T의 연쇄로 표현한다. 이때 각 단계 t에서 배치 크기 n의 새 데이터 D_t가 도착하고, 메커니즘은 누적 데이터 집합 S_t에 대해 출력을 o_t = M_t(S_t)한다. 기존 연구는 최종 모델 o_T만을 이용해 멤버십 추론을 수행했으나, 저자는 o₁,…,o_T 전체를 활용하면 “희석(dilution)” 현상을 피할 수 있음을 증명한다. 핵심은 Neyman‑Pearson 레마를 이용해 삽입 시점 τ가 알려졌을 때의 최적 검정, 즉 SeMI*를 도출한 것이다.

구체적으로 가우시안 데이터의 경험 평균 메커니즘을 분석한다. 각 배치 평균 (\bar X_t)는 재귀식 (\hat\mu_t = (1-1/t)\hat\mu_{t-1} + (1/t)\bar X_t) 로 업데이트되며, 삽입된 캔러리 z*가 τ번째 배치에 포함될 경우 (\hat\mu_\tau)와 (\hat\mu_{\tau-1}) 사이의 전이 확률만이 두 가설 H₀(캔러리 없음)과 H_τ¹(캔러리 존재)을 구분한다. 이는 “Isolation Property”라 불리며, 전체 시퀀스 중 τ시점 배치 평균만을 이용해 완전한 통계량을 복원할 수 있음을 의미한다. 따라서 검정 통계량은 (\bar X_\tau)에만 의존하고, T나 다른 배치들의 영향은 사라진다.

다변량 경우에는 로그우도비가
\