샘플별 노이즈 최적화로 강화된 인증 백도어 방어

초록

본 논문은 기존 랜덤 스무딩 기반 인증 방어가 모든 입력에 동일한 가우시안 노이즈를 적용한다는 가정의 한계를 지적하고, 각 샘플의 결정 경계 거리와 특성에 따라 최적의 노이즈 크기를 개별적으로 학습한다. 스토캐스틱 그래디언트 상승으로 샘플별 노이즈를 최적화하고, 다중 스무딩 모델을 훈련·집합하여 최종 예측을 도출한다. 또한, 샘플별 노이즈 변동으로 기존 인증 절차가 적용되지 않음에 따라 저장‑업데이트 기반 인증 방식을 제안해 인증 영역을 동적으로 조정한다. 실험 결과, 제안 방법이 기존 인증 방어 대비 인증 반경과 성공률 모두에서 우수함을 확인하였다.

상세 분석

본 연구는 백도어 공격에 대한 인증 방어를 위해 랜덤 스무딩(Randomized Smoothing, RS)의 근본적인 전제인 “모든 샘플이 동일한 노이즈 수준을 공유한다”는 가정을 비판한다. 실제 딥러닝 모델의 결정 경계는 입력마다 크게 다르며, 경계에 가깝게 위치한 샘플은 작은 노이즈만으로도 경계 넘김이 발생할 위험이 있다. 반대로 경계에서 멀리 떨어진 샘플은 더 큰 노이즈를 적용해도 정확도 손실이 적으며, 오히려 인증 반경을 확대할 수 있다. 이러한 관찰은 기존 고정 노이즈 방식이 전체 데이터셋에 대해 최적이 아님을 의미한다.

이를 해결하기 위해 저자들은 각 샘플 x에 대해 최적의 노이즈 표준편차 σ(x)를 찾는 최적화 문제를 정의한다. 인증 반경 r(x,σ) 은 직접적인 폐쇄형 식이 없으므로, Monte‑Carlo 추정이 가능한 surrogate objective, 즉 top‑1과 top‑2 클래스 확률 차이를 최대화하는 목표를 설정하고, 재파라미터화 기법을 이용해 gradient variance를 감소시킨 뒤 스토캐스틱 그래디언트 상승(SGA)으로 σ(x)를 업데이트한다. 최적화 과정에서 여러 개의 독립적인 백도어가 포함된 학습셋에 동일한 σ(x)를 적용해 여러 베이스 모델 f_i를 훈련하고, 각 모델에 대해 동일한 σ(x)로 테스트 시 노이즈를 주입한다.

인증 단계에서는 기존 RS가 고정 σ를 전제로 “가장 확률이 높은 클래스”를 선택하고, Neyman‑Pearson 기반의 r(x,σ) 를 계산한다. 그러나 σ가 샘플마다 다르면 동일한 확률 분포를 가정할 수 없으므로, 저자들은 “스토리지‑업데이트 기반 인증”을 제안한다. 각 샘플에 대해 현재 인증 반경을 저장하고, 새로운 샘플이 들어올 때마다 기존 반경과 겹치지 않도록 동적으로 조정한다. 이렇게 하면 인증 영역이 서로 겹치지 않아 인증 결과의 일관성을 보장한다.

실험에서는 CIFAR‑10, GTSRB, ImageNet‑subset 등 여러 벤치마크에 대해 대표적인 백도어 공격(Blend, BadNets, WaNet 등)을 적용하였다. Cert‑SSBD는 고정 노이즈 기반 RAB 대비 평균 인증 반경을 15~30% 향상시켰으며, 특히 경계에 가까운 샘플에서 정확도 저하를 최소화했다. 또한, 다중 모델 앙상블을 통해 노이즈 변동에 따른 불확실성을 감소시켜 전체 인증 성공률을 크게 끌어올렸다.

핵심 기여는 (1) 샘플별 노이즈 최적화라는 새로운 관점을 제시하고, (2) 이를 구현하기 위한 효율적인 SGA와 재파라미터화 기법을 도입했으며, (3) 기존 인증 절차와 호환되지 않는 문제를 해결하기 위한 저장‑업데이트 기반 인증 프레임워크를 설계했다는 점이다. 이로써 인증 기반 백도어 방어가 보다 실용적이고 강건한 수준으로 한 단계 진보하였다.