중간 표현을 지키는 연합 분할 학습 k 익명성과 차등 개인정보 보호

초록

연합 분할 학습(UFSL)에서 클라이언트가 서버에 전송하는 중간 특징(스매시드 데이터)이 개인 정보를 유출할 수 있다는 문제를 다룬다. 저자는 데이터에 차등 개인정보 보호(DP) 노이즈를 추가하고, 클라이언트를 k명 이상으로 그룹화해 마이크로‑집계(모델‑레벨 k‑익명성)를 적용하는 KD‑UFSL 방식을 제안한다. 실험을 통해 재구성 공격 시 이미지 재구성 오류가 최대 50 % 증가하고 구조적 유사도가 40 % 감소했으며, 전역 모델 성능은 크게 손실되지 않음을 확인했다.

상세 분석

본 논문은 연합 학습(Federated Learning)과 분할 학습(Split Learning)의 장점을 결합한 U‑shaped Federated Split Learning(UFSL)의 보안 취약점을 심도 있게 분석한다. UFSL은 클라이언트가 데이터와 라벨을 로컬에 보관하면서, 모델을 헤드‑네트워크(클라이언트), 바디‑네트워크(서버), 테일‑네트워크(클라이언트)로 삼분할한다. 이 구조는 라벨 노출 문제를 해결하지만, 클라이언트가 서버에 전송하는 헤드‑네트워크의 출력, 즉 스매시드 데이터가 공격자에게 노출될 경우 원본 이미지가 복원될 위험이 있다. 논문은 이러한 위험을 정량화하기 위해 ‘데이터 재구성 공격’ 시나리오를 설계하고, 공격 서버가 동일한 헤드 구조와 유사 데이터셋을 이용해 역전 네트워크(I)를 학습해 원본을 복원하는 과정을 시뮬레이션한다.

보호 메커니즘으로 제안된 KD‑UFSL은 두 단계로 구성된다. 첫 번째 단계는 차등 개인정보 보호(DP)를 적용해 각 클라이언트의 원본 데이터를 가우시안 노이즈(N(0,σ²))로 섞는다. 이때 ε‑DP와 δ‑DP 파라미터를 조절해 프라이버시와 유틸리티 사이의 트레이드오프를 제어한다. 두 번째 단계는 모델‑레벨 k‑익명성을 구현한다. 서버는 매 에포크마다 클라이언트를 최소 k명 이상으로 구성된 그룹으로 나누고, 각 그룹 내에서 스매시드 데이터를 평균(마이크로‑집계)한다. 이렇게 집계된 그룹 스매시드 데이터는 개별 클라이언트의 특징을 숨기면서도 바디‑네트워크에 입력될 수 있다.

핵심 기여는 (1) 원본 데이터에 직접 DP 노이즈를 추가함으로써 스매시드 데이터 자체의 민감도를 감소시킨 점, (2) 스매시드 레벨에서 k‑익명성을 적용해 역전 네트워크가 개별 샘플을 복원하기 어렵게 만든 점이다. 실험에서는 MNIST, Fashion‑MNIST, CIFAR‑10, 그리고 의료 영상 데이터셋 등 네 가지 벤치마크를 사용해 재구성 오류(MSE)와 구조적 유사도(SSIM)를 평가했다. 결과는 KD‑UFSL 적용 시 MSE가 최대 50 % 상승하고 SSIM이 40 % 감소했으며, 동시에 전역 모델의 정확도는 k와 ε 값을 적절히 선택하면 기존 UFSL과 거의 동일하게 유지된다는 것을 보여준다.

또한, 논문은 k값이 클수록 프라이버시 보호 효과가 커지지만, 그룹 내 클라이언트 수가 충분히 확보되지 않을 경우 통신 및 연산 오버헤드가 증가할 수 있음을 언급한다. 따라서 실제 배포 환경에서는 클라이언트 풀 규모와 네트워크 대역폭을 고려해 k와 DP 파라미터를 조정해야 한다는 실용적 가이드라인을 제공한다.

전반적으로 KD‑UFSL은 차등 개인정보 보호와 k‑익명성이라는 두 가지 독립적인 프라이버시 기술을 결합해, 중간 표현을 통한 데이터 유출 위험을 효과적으로 완화하면서도 연합 분할 학습의 효율성을 유지한다는 점에서 의미가 크다.